J'ai une application .net qui stocke les mots de passe hachés dans une base de données du serveur SQL.mécanisme de hachage des mots de passe
Les mots de passe sont hachés à l'aide d'un salt qui est stocké dans la base de données avec les mots de passe hachés.
Comme couche de sécurité supplémentaire, je hache le mot de passe haché avec une autre clé secrète de site qui n'est pas stockée sur le serveur de base de données pour des raisons de sécurité. Comme le système est équilibré, où dois-je stocker la clé secrète du site? Stockez-en une copie dans la configuration de chacune de mes applications .net (même valeur sur tous les serveurs).
Deuxième question est, quel est le mécanisme de hachage recommandé pour le stockage des mots de passe?
Quel algorithme de hachage utilisez-vous? Il est peu probable que le hachage améliore la sécurité de manière significative; consultez [Double-hashing un mot de passe moins sécurisé ...] (http://stackoverflow.com/questions/348109/). –
Est-ce important de savoir où vous stockez le sel spécifique du site tant qu'ils ne sont pas visibles (et ne peuvent jamais être) visibles sur Internet? Si un serveur tombe en panne dans votre base de données et votre serveur Web, ils peuvent facilement obtenir facilement du sel spécifique à votre site. – scottheckel