Я натолкнулся на дискуссию, в которой я узнал, что яя делаю нена самом деле пароли засоляют, но перчат их, и яС тех пор, как начал делать оба с такой функцией:

hash_function($salt.hash_function($pepper.$password)) [multiple iterations]

Игнорирование выбранного алгоритма хеширования (я хочу, чтобы это было обсуждение солей и перцы и не конкретные алгоритмы, но яя использую безопасный), это безопасный вариант или я должен делать что-то другое? Для тех, кто не знаком с условиями:

поваренная соль является случайно сгенерированным значением, обычно хранящимся со строкой в базе данных, разработанной, чтобы сделать невозможным использование хеш-таблиц для взлома паролей. Поскольку у каждого пароля есть своя собственная соль, все они должны быть взломаны индивидуально, чтобы взломать их; однако, поскольку соль хранится в базе данных с хэшем пароля, компрометация базы данных означает потерю обоих.

перец статическое значение для всего сайта, хранящееся отдельно от базы данных (обычно жестко запрограммировано в приложении 'с исходным кодом), который должен быть секретным. Он используется для того, чтобы компрометация базы данных не вызвала бы все приложение ».Таблица паролей должна быть перебором.

Есть ли что-нибудь, что ям отсутствует и солит Переполнение моих паролей лучший способ защитить моего пользователябезопасность? Есть ли потенциальный недостаток безопасности в этом?

Примечание. Предположим, что в целях обсуждения приложение базы данных хранятся на разных компьютерах, не разделяют пароли и т. д., поэтому нарушение работы сервера базы данных не означает автоматически нарушение работы сервера приложений.