P.S. я говорил про то, что если хотят посадить именно вас, то и траву с сибирской язвой пришлют и хранение полония напишут, но зачастую именно вы не нужны и подставляться лишь для того, чтоб повысить раскрываемость никто не будет.
То, что вы не видите с неё толку — не говорит о том, что его нет. Хотя, возможно, вы знаете что-то, чего не знаю я про эту часть современной прикладной криптографии, например, какие-то конкретные цифры эффективности посола паролей относительно текущих вычислительных мощностей.
Вы будете спорить с тем, что user_id менее случаен чем соль?..
Про fixed_salt в сорцах можно согласиться. Кстати, я бы предложил делать hash(peruser_salt + password + fixed_salt), т.е. fixed_salt ставить на последнее место. Почему? Хэши обычно проходят по строке в прямом порядке, т.е. для всех строк после прохода fixed_salt состояние будет одинаковым. Читал про так называемые атаки «с общим префиксом»…
Э-эх… Если бы везде был OpenID, у меня бы под клавиатурой не было записан 130 паролей от «не важных» сайтов. :-)
Ну и, пожалуй, своему OpenID провайдеру я бы не доверил доступ на free-lance.ru (и любой другой сервис, где есть данные моей кредитной карты, какие-либо счета и т.п.).
Вихрь Мерсенна (Mersenne twister) — это генератор псевдослучайных чисел (ГПСЧ), разработанный в 1997 японскими учёными Макото Мацумото (松本 眞) и Такудзи Нисимура (西村 拓士).… этот генератор не является криптостойким, что ограничивает его использование в криптографии.
… Вихрь Мерсенна реализован в библиотеке gLib и стандартных библиотеках для PHP, Python и Руби.
Вы это хотели сказать, да? :-)
То, что вы не видите с неё толку — не говорит о том, что его нет. Хотя, возможно, вы знаете что-то, чего не знаю я про эту часть современной прикладной криптографии, например, какие-то конкретные цифры эффективности посола паролей относительно текущих вычислительных мощностей.
Про fixed_salt в сорцах можно согласиться. Кстати, я бы предложил делать hash(peruser_salt + password + fixed_salt), т.е. fixed_salt ставить на последнее место. Почему? Хэши обычно проходят по строке в прямом порядке, т.е. для всех строк после прохода fixed_salt состояние будет одинаковым. Читал про так называемые атаки «с общим префиксом»…
Хотя это уже уходит в теоретизирование. :-)
Ну и, пожалуй, своему OpenID провайдеру я бы не доверил доступ на free-lance.ru (и любой другой сервис, где есть данные моей кредитной карты, какие-либо счета и т.п.).
Вихрь Мерсенна (Mersenne twister) — это генератор псевдослучайных чисел (ГПСЧ), разработанный в 1997 японскими учёными Макото Мацумото (松本 眞) и Такудзи Нисимура (西村 拓士).… этот генератор не является криптостойким, что ограничивает его использование в криптографии.
… Вихрь Мерсенна реализован в библиотеке gLib и стандартных библиотеках для PHP, Python и Руби.
© ru.wikipedia.org/wiki/Вихрь_Мерсенна
Лучше, конечно, использовать не random() а системный (П)ГСЧ.
Я, например, вот так пароли себе генерирую. Ну и соль так же, только соль обычно покороче — символа два-три.