ฉันกำลังใช้ Fernet ของ python.cryptography พร้อมแฮชข้อความรหัสผ่าน PBKDF2 เพื่อเข้ารหัสชิ้นส่วนของข้อมูล (ค่า) ที่จัดเก็บ เข้ารหัส ในฐานข้อมูล วลีรหัสผ่านที่แฮชคือ ไม่ เก็บไว้ในฐานข้อมูล และด้วยเหตุนี้จึงไม่ใช่เกลือ แต่เกลือมาจากห้องเก็บรหัสผ่านในสภาพแวดล้อมรันไทม์ของแอปพลิเคชัน จากนั้นแก้ไขเพื่อให้ไม่ซ้ำกันสำหรับแต่ละค่า
คำถามหนึ่งที่ฉันมีเกี่ยวกับเรื่องนี้คือ: หากผู้โจมตีมีข้อความรหัสผ่านและข้อมูลที่เข้ารหัสเป็นค่าเดียว เป็นไปได้หรือไม่ที่ผู้โจมตีจะทำวิศวกรรมย้อนกลับกับเกลือ (ซึ่งจะช่วยให้พวกเขาบังคับข้อมูลที่เหลืออย่างโหดเหี้ยม) จะเกิดอะไรขึ้นหากพวกเขามีสำเนาของข้อมูลเวอร์ชันที่ไม่ได้เข้ารหัสสำหรับค่านั้นด้วย
(เวกเตอร์การโจมตีที่กำลังพิจารณาในที่นี้คือเวกเตอร์ที่ผู้โจมตีมีบัญชีผู้ใช้ทั่วไปในระบบ และได้รับสำเนาของฐานข้อมูลที่มีค่าการเข้ารหัส ดังนั้น พวกเขาจึงสามารถสร้างค่าเดียว (ของพวกเขา) ในที่ที่พวกเขารู้ วลีรหัสผ่านและค่าเข้ารหัสที่เป็นผลลัพธ์ นอกจากนี้ พวกเขายังสามารถเข้าถึงสำเนารหัสของแอปพลิเคชันได้เนื่องจากเป็นโอเพ่นซอร์ส)
ตามคำขอ นี่คือวิธีจัดการเกลือ:
ฉันเชื่อว่าด้านบนเรียกว่ารูปแบบ "เกลือและพริกไทย"
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
