Sözlük

Tuz (salt)

parola tuzukriptografik tuz

Tuz, aynı girişlerin farklı çıktılar üretmesi için her parola hashleme veya anahtar türetme işlemine eklenen benzersiz bir değerdir.

Tanım

Tuz, parola hashleme veya anahtar türetme öncesinde parolaya ya da başka bir girdiye eklenen değerdir. Temel görevi, iki kullanıcı aynı parolayı seçse bile türetilen çıktıyı benzersiz yapmaktır.

Tuzun genellikle gizli olması gerekmez. Doğrulayıcı aynı hesabı daha sonra tekrarlayabilsin diye hash veya kodlanmış çıktı ile birlikte saklanır.

Nasıl çalışır

Sistem her parola için yeni rastgele bir tuz üretir ve parolayı tuzla birlikte Argon2id, bcrypt veya PBKDF2 gibi bir parola hash fonksiyonuna verir. Doğrulama sırasında saklanan tuz aday parolayla yeniden kullanılır.

Benzersiz tuzlar, aynı parolaların aynı saklanan hashleri üretmesini engeller ve önceden hesaplanmış arama tablolarını çok daha az işe yarar hale getirir. Zayıf parolaları güçlü yapmazlar; parola hash fonksiyonunun yine uygun maliyet ayarlarına ihtiyacı vardır.

Tuz, anahtar, pepper ve nonce

Tuz, gizli kimlik doğrulama anahtarı değil herkese açık benzersizlik sağlar. Pepper, parola veritabanının dışında tutulan ayrı bir gizli değerdir; nonce ise belirli bir protokolde veya şifreleme işleminde bir kez kullanılan sayıdır.

Yeni sistemlerde tuzları kriptografik olarak güvenli rastgele kaynakla üretin ve mümkün olduğunda parola hashleme kütüphanesinin bunları standart kodlanmış biçiminde saklamasına izin verin.

Sık sorulan sorular

Hayır. Tuz benzersiz ve tercihen rastgele olmalıdır, ancak hashin yanında saklanabilir.

Kullanmamalıdır. Rastgele tuzlar yeniden kullanımı olasılık dışına iter ve aynı parolaların aynı hash gibi görünmesini engeller.

Hayır. Uygun maliyet parametrelerine sahip parola hash fonksiyonu, güvenli rastgele tuzlar, hız sınırlama ve izleme kullanın.

Ayrıca bakınız