Я использую coldfusion и хочу создать случайное поле соли для своих паролей. Мне было интересно, полезна ли здесь функция CreateUUID(). Я нашел много примеров, в которых используется отдельная функция для создания строки соли; но зачем это делать, если вместо этого можно использовать функции rand() или CreateUUID()? Я не уверен.
Это излишество или хорошая идея? Или я должен вместо этого использовать rand() или временную метку?
Это не хорошая идея — CreateUUID гарантирует уникальность, а не случайность; если бы вы провели статистический анализ CreateUUID, скорее всего, это распределение не считалось бы достаточно случайным для криптографии, потому что оно не было специально разработано таким образом.
Например, первые n байтов CreateUUID — это ваш MAC-адрес, т. е. всегда один и тот же для каждой соли. Сделав это, вы значительно уменьшили количество энтропии, которое имеют ваши соли, тем самым облегчив их взлом. Используйте библиотеки для обработки всего сценария аутентификации, если это вообще возможно, а если нет, используйте настоящую функцию rand().
