在阅读了一些有关盐渍密码的信息之后,似乎最好为每个用户使用一种独特的盐。我正在实施Flask-Security atm,并且从文档中看到,您只能设置全局盐:即SECURITY_PASSWORD_SALT ='thesalt'每位用户使用Flask-Security的独特盐
问题:如何为每个密码创建独特的salt?
谢谢!
编辑:来自Flask-Security上的文档,我发现这个,似乎再次表明这个模块仅仅使用一个单盐来开箱即用所有密码。
flask_security.utils.get_hmac(password)
Returns a Base64 encoded HMAC+SHA512 of the password signed with the salt
specified by SECURITY_PASSWORD_SALT.
一个全球性的盐不是盐。如果每个人都使用相同的盐,那么恰好具有相同密码的两个用户将具有相同的哈希密码。这就是盐类预防的一种情况。 – 2014-09-19 20:45:39
@MichaelBurr好的,这就是我想的......这就是为什么我很困惑。如何使用此设置为每个密码创建独特的盐?或者我必须重写Flask-Security中内置的salting以执行此操作? – Chockomonkey 2014-09-19 21:30:36
对不起 - 我对Flask一无所知。我只是在评论全球盐的想法。 – 2014-09-19 21:54:07