soit en l'ajoutant en clair au hash (comme crypt() et bcrypt())
C'est bien ce que j'avais cru comprendre,avec bcrypt le sel est donnée dans la base de données...
C'est plutot curieux comme technique, pour du niveau 0, je privilegirai plus une approche tel que :
SHA1(SHA1(username) + sel + SHA(password))
où on aurait donc SHA1(usname) qui serait le perUserSalt mais non communiqué.
[^] # Re: niveau -0.5
Posté par fabien . En réponse au journal L'art de stocker des mots de passe. Évalué à 3.
j'en profite pour rebondir sur ce point :
C'est bien ce que j'avais cru comprendre,avec bcrypt le sel est donnée dans la base de données...
C'est plutot curieux comme technique, pour du niveau 0, je privilegirai plus une approche tel que :
SHA1(SHA1(username) + sel + SHA(password))
où on aurait donc SHA1(usname) qui serait le perUserSalt mais non communiqué.