TECNOLOGíA, INTERNET Y JUEGOS

Pordede ha sido hackeada, si registraste tu cuenta allí estás en peligro

#32 "Y si eres capaz de extraer el salt, que puede ser factible atacando contraseñas débiles o, como podría ser más probable en este caso, accediendo al código fuente de la web más en concreto a las funciones que generen y validen contraseñas, sí puedes hacer un ataque híbrido por diccionario."

La salt está a la vista con la contraseña hasheada.
#45 Venía a decir lo mismo. La sal debe ser única para cada contraseña, y totalmente aleatoria, por lo que se guarda con cada contraseña.

Otra cosa es que además uses una pimienta para encriptar todas las contraseñas de manera global, en este caso la pimienta si que es un valor único y oculto.
#45 En el caso de que usen un modelo con salt por usuario, si.

#49 Podría ser, salt por usuario (per_user_salt) más lo que tú llamas pimienta, que es el salt global (widesite_salt).
#56 Es que si la sal no es única para cada contraseña, de poco sirve. Lo mejor es dejarse de historias y utilizar una función estandarizada como PBKDF2, scrypt, bcrypt o Argon2, que ya se encargarán ellas de generar una sal segura.

Ah, y el término pimienta no lo he inventado yo :-P
blogs.dropbox.com/tech/2016/09/how-dropbox-securely-stores-your-passwo
www.usenix.org/legacy/events/sec99/full_papers/kedem/kedem.pdf
#59 Lo se, pero, aunque le llamen pimienta, no deja de ser el salt global. Vamos que no es un concepto nuevo.

De hecho mucho opensource del que he visto el código al principio se referían al salt global como simplemente salt. Y con el paso de los años se ha ido añadiendo el salt por usuario como un factor más para defender la contraseña.

También es bastante común lo contrario, por ejemplo el campo de password del /etc/shadow es la union del salt + password hasheada (bueno, y el tipo de cifrado).

menéame