การรวม HMAC กับ Bcrypt มีประโยชน์หรือไม่
หากเป็นเช่นนั้น ฉันควรทำ HMAC ด้วยรหัสผ่านก่อนที่จะ "เข้ารหัสลับ" หรือไม่ หรือฉันควรทำ HMAC บนเอาต์พุต Bcrypt
เป้าหมายของ Pepper คือการปกป้องรหัสผ่านในกรณีที่ฐานข้อมูลของแฮชรหัสผ่านถูกบุกรุก แต่ส่วนอื่น ๆ ของระบบการตรวจสอบสิทธิ์จะไม่ถูกบุกรุก
เอาต์พุตของฟังก์ชันการแฮชรหัสผ่านประกอบด้วยพารามิเตอร์อินพุต เกลือ และไดเจสต์ ดังนั้นการปิดบังอย่างถาวรผ่าน HMAC จะทำให้ไม่สามารถยืนยันรหัสผ่านของผู้ใช้ได้ การจัดเก็บเอาต์พุตแฮชรหัสผ่านข้อความธรรมดาถัดจากเอาต์พุต HMACed "พริกไทย" จะทำให้ค่า "ไม่พริกไทย" รั่วไหล ดังนั้นคุณใช้พริกไทยในการป้อนข้อมูล
ไม่มีอะไรเกี่ยวกับสิ่งนี้ที่แตกต่างจากแฮชต่อแฮช มันเหมือนกันสำหรับ bcrypt เช่นเดียวกับสำหรับ PBKDF2 หรือ Argon2 หรือ Pufferfish2 หรือฟังก์ชันการแฮชรหัสผ่านอื่นๆ...
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
