Я использую реализацию хэша .NET Bcrypt из сторонней библиотеки, и у него есть метод, который создает хеш, просто предоставляя текст или пароль, как показано ниже.
Bcrypt.HashPassword("password")
Я знаю, что сгенерированный хэш содержит информацию о соли, но при создании хэша он не получает параметр соли.
Bcrypt создает случайную соль внутри и использует ее?
Это может привести к ослаблению безопасности, если я не использую метод перегрузки солью?
С теоретической точки зрения вы должны делать следующее, где P — заданный пароль:
S.H = Hash(S + P), где Hash — криптографически стойкий алгоритм хеширования.S и H в вашей базе данных для текущего пользователя.Во время аутентификации, учитывая пароль-кандидат P' для кого-то, утверждающего, что он тот же пользователь, проверить пользователя тогда и только тогда, когда H == Hash(S + P').
Создает ли Bcrypt случайную соль внутри и использует ли ее?
Соль — это не то, что она должна создавать только внутри себя. Он должен дать вам соль для хранения с хешированной солью + пароль.
Это может привести к ослаблению безопасности, если я не использую метод перегрузки солью?
Да.
