Из прочитанного, интересную идею увидел у Beavis с никами пользователей в качестве соли. Немного ее расширю, подправлю, у меня ник может меняться, так что использовать его недопустимо, как вариант использовать логин. Вполне себе неплохой способ, если использовать алгоритм преобразования пароля на основе соли. Если тупо делать $pass.$salt то толку в этом конечно нет.
В сторону crypt я тоже смотрел неоднократно но чет так и не отважился использовать, ибо смущал его DES по умолчанию, но думаю все же отважусь провести тесты с crypt, спасибо!
Но я напомню как именно я ставил вопрос.
Опустим возможность перехвата пароля, при его отправке на сервер в открытом виде, это другой вопрос, также, опускаем тот вариант когда взломщик поимел доступ к БД на запись, тут все очевидно (хотя о5 же не в моем случае ибо чтобы записать новый хэш даже зная соль нужно знать алгоритм преобразования, для этого необходимо поиметь доступ к пхп скрипту на чтение).
Рассмотрим возможные ситуации взлома:
1. Взломщик смог узнать хэш пароля. Хэш пароля генерится с использованием соли, следовательно подбор даст строку которая на самом деле не является паролем.
2. Взломщик смог узнать хэш пароля и соль. Так как существует определенный алгоритм который на основании соли преобразует пароль, то даже если удалось узнать строку, которая была хэшированна, необходимо знать алгоритм ее построения на основе соли.
3. Взломщик каким-то образом смог узнать пароль, но так как соль уникальная такой же пароль будет иметь другой хэш.
Так вот, я считаю что при использовании алгоритма "соления" (а не простого $pwd.$salt) и при использовании strong hashing например sha512, наличие уникальной соли становится избыточным.
Я хотел узнать ваше мнение о том к правильному ли выводу я пришел?
