Ich benutze Coldfusion und ich möchte ein zufälliges Salzfeld für meine Passwörter erzeugen. Ich habe mich gefragt, ob eine CreateUUID () - Funktion hier nützlich ist. Ich habe viele Beispiele gefunden, die eine separate Funktion verwenden, um die Salzkette zu erzeugen. Aber warum sollten Sie stattdessen rand () oder CreateUUID () Funktionen verwenden? Ich bin mir nicht sicher.
Ist es ein Overkill oder eine gute Idee? Oder sollte ich stattdessen rand () oder einen Zeitstempel verwenden?
Dies ist nicht eine gute Idee - CreateUUID garantiert Eindeutigkeit , nicht Zufälligkeit ; Wenn Sie eine statistische Analyse von CreateUUID durchgeführt haben, wäre es höchstwahrscheinlich keine Verteilung, die für die Kryptographie als ausreichend zufällig angesehen wird, weil sie nicht explizit so entworfen wurde.
Zum Beispiel sind die ersten n Bytes von CreateUUID Ihre MAC-Adresse - d. h. ist immer die gleiche für jedes Salz . Dadurch haben Sie die Entropie, die Ihre Salze haben, signifikant verringert, wodurch sie leichter zu knacken sind. Verwenden Sie Bibliotheken, um das gesamte Authentifizierungsszenario möglichst zu behandeln. Wenn nicht, verwenden Sie eine echte rand () - Funktion.
Tags und Links salt uuid password-protection