Coda Hale makale "Güvenle bir Parola Mağaza Nasıl" yönündeki iddiaları:
bcrypt, gökkuşağı tablosu saldırılarını önlemek için yerleşik tuzlara sahiptir.
OpenBSD'nin uygulanmasında şunları söyleyen bu makaleye atıfta bulunur bcrypt
:
OpenBSD, çekirdeğin cihaz zamanlamalarından topladığı rasgele verilerle tohumlanmış bir arcfour (arc4random (3)) anahtar akışından 128 bit bcrypt tuzunu üretir.
Bunun nasıl çalıştığını anlamıyorum. Benim bir tuz anlayışımda:
- Saklanan her şifre için farklı olması gerekir, böylece her biri için ayrı bir gökkuşağı tablosu oluşturulmalıdır
- Tekrarlanabilir olması için bir yerde saklanması gerekir: bir kullanıcı giriş yapmaya çalıştığında, şifre girişimlerini dener, ilk olarak şifrelerini sakladığımızda yaptığımız aynı tuz ve karma prosedürünü tekrarlar ve karşılaştırırız.
Bcrypt ile Devise (bir Rails giriş yöneticisi) kullandığımda, veritabanında tuz sütunu yok, bu yüzden kafam karıştı. Tuz rastgele ve hiçbir yerde saklanmazsa, hash işlemini nasıl güvenilir bir şekilde tekrarlayabiliriz?
Kısacası, bcrypt'in yerleşik tuzları nasıl olabilir ?