在 SO 上已经解决了关于这个主题的几个问题,但我无法找到这个特定查询的答案。我看过给 您的密码加盐:最佳实践?以及对密码散列的非随机盐的出色回答,它们都有非常有用的指导方针,但没有明确的存储指导方针。
是否建议将哈希、随机盐和迭代计数都放在同一个表中?如果没有,建议的方法是什么?
我确实明白,即使我们将它们放在一起,也不能轻易使用随机盐制作彩虹表。问题是因为有许多简单的额外威慑可以起到很长的作用。例如,将盐放在不同的表中(注入通常会浸出表,而不是 DB),而迭代计数在不同的层中(例如,中间层中的常量)。