[解決済み] パスワードの暗号化：ベストプラクティス？[クローズド］。

質問

ずっと気になっていたのですが... ハッシュ化するためにパスワードを塩漬けにする場合、prefixとpostfixのどちらが良いのでしょうか？なぜですか？それとも、ソルティングさえすれば問題ないのでしょうか？

説明します。私たちは皆、（願わくば）もう知っていることですが 塩 は、パスワードをハッシュ化してデータベースに保存する前に [ 編集する そのため、以下のようなことは避けることができます。 ジェフ・アトウッドに最近起こったこと ]. 一般的には、ハッシュアルゴリズムに通す前に、ソルトをパスワードに連結することで行われます。しかし、その例は様々である... ある例では、パスワードの前にソルトを付加しています。ある例では、ソルトをパスワードの前に追加します。 後 パスワード 塩を真ん中に置こうとするものも見たことがあります。

では、どの方法が良いのでしょうか、またその理由は？ハッシュの衝突の可能性を減らす方法はあるのでしょうか？ググってみても、このテーマに関するまともな分析結果は出てきません。

編集する 素晴らしい回答です。1つしか選べないのが残念です :)

解決方法は？

接頭辞や接尾辞は関係ありません。パスワードにエントロピーと長さを加えるだけです。

この3つを考慮する必要があります。

1. ソルトは、保存するパスワードごとに異なる必要があります。(これはかなりよくある誤解です)。
2. 暗号化された安全な乱数発生器を使用する。
3. 十分な長さのソルトを選択する。誕生日問題について考える。

優れた Dave Sherohmanによる回答 なぜ、ユーザー名（あるいはその他の個人情報）ではなく、ランダムに生成される塩を使うべきなのか、という別の質問に対する回答です。これらの提案に従うなら、ソルトをどこに入れるかは本当に問題ではありません。