1/ Sử dụng scrypt, bcrypt, PBKDF2 hoặc argon2. Thuật toán nào trong số này cũng được, cứ chọn một cái mà dùng, thay thế cho MD5, SHA2, v.v.
2/ Băm _mỗi_ mậ_ khẩu với một "muối" (salt) ngẫu nhiên dài 64 bit. Muối này không cần phải giữ bí mật, lưu chung với chỗ lưu mật khẩu cũng được.
3/ (Nâng cao) Băm _tất_cả_ mật_khẩu với một "tiêu" (pepper) ngẫu nhiên dài 128 bit. Tiêu này cần được giữ bí mật, lưu ở một máy chủ khác với chỗ lưu mật khẩu.
Tại sao phải làm những bước này? Tại sao thêm muối thôi không đủ? Tại sao cần phải có cả tiêu?
Các câu hỏi này tôi để dành cho các bạn sinh viên như là bài tập về nhà. Các bạn có thể trả lời vào phần comment bên dưới.
Thứ Năm, 31 tháng 5, 2018
Bài liên quan:
Đăng ký workshop: "Lời khuyên của một hacker: làm sao để tránh bị hack"Vì vướng vài trục trặc logistic, đến hôm nay tôi mới biết chắc chắn mì… Read More
Người Việt Nam chọn mật khẩu như thế nào?(vào đây để kiểm tra xem thông tin cá nhân của bạn có bị lộ hay không … Read More
Internet Banking: cấm không có nghĩa là an toàn, an toàn không có nghĩa là khách hàng sẽ muốn xàiNhân cuộc tranh luận về mật khẩu Internet Banking tôi mới nhớ năm 2016… Read More
Lỗ hổng WPA2/WiFi mới: khó khai thác, không nguy hiểm, không nên hoảng hốtMột nhóm nghiên cứu vừa công bố một số lỗ hổng WPA2/WiFi mới. Đây là n… Read More
0 nhận xét: