Anonym (glasöga) skrev 2012-01-20 21:23:49 följande:
Vad menas med det?
Wikipedia har svaret:
Ett salt är ett slumpmässigt tillägg till ett lösenord som gör det svårare för en lösenordstjuv att lista ut det riktiga lösenordet. Ett vanligt exempel är när man registrerar sig på ett internetforum och tilldelas ett salt som ligger dolt i ens profil. När man väljer lösenord så använder forumet en hashfunktion för att beräkna en kontrollsumma av lösenordet. Saltet adderas, och forumet beräknar en kontrollsumma som sparas i databasen. När man sedan loggar in sig genomför forumet samma beräkningar med lösenordet man skriver in och kontrollerar om det stämmer överens med det som finns lagrat i databasen.
Eftersom lösenorden inte uttryckligen finns i databasen, utan bara bildar kontrollsummor så blir de svåra att stjäla.
Saltad data försvårar attacker på datorers databibliotek och genom att använda förkryptering av databiblioteksposter: där varje bit av ett redan använt salt fördubblar mängden lagringsutrymme och ytterligare beräkningar krävs.
För bästa säkerhet så är saltets värde hemligt, åtskilt från lösenordsdatabasen. Detta ger en fördel när en databas blir stulen, men saltet inte blir det. För att beräkna ett lösenord från en stulen hash (initieringsvektor), kan en angripare inte bara försöka lösa koden med hjälp av några gemensamma lösenord (t.ex. ord eller namn). Snarare måste de beräkna varje hash av slumpmässiga tecken (åtminstone för de delar som de vet är saltet), vilket är mycket långsammare.
