Security 登录安全-客户端salt-用户如何创建此每个用户的公共参数？

因为客户端salt值应该是每个用户的参数，并且它在客户端是公开可见的（我看不到隐藏它的方法），所以人们如何确定这个值应该是什么？我不是问怎么做（比如js库等等）。我知道我的数据库和它的salt值必须与客户端salt值相同，但是你从哪里得出这个值呢？用户名的某些部分？这是我能看到的客户端和数据库之间唯一一致的值，但我不确定。有什么想法吗？谢谢你的帮助

我从来没有听说过在客户端执行salt（或者任何密码操作）。虽然salt不是一个真正的秘密值，但知道它可以使对特定密码的攻击更容易。为什么要在客户端执行salting？感谢您的回复。我想我可能是糊涂了吧？如果我在数据库中对密码进行了salt+散列，但在发送之前没有对登录密码进行salt+散列，那么如何成功匹配这些值？尽管使用SSL，我还是尽量不发送纯文本密码。我做错了吗？谢谢通过SSL发送明文密码非常好：通信通道是安全的。存储明文（甚至可逆加密）密码是一个巨大的禁忌，但通过可以安全地假定为安全通道的方式传输密码通常是可以接受的。任何客户端salt方案都会将salt知识暴露给客户端，从而在理论上暴露给攻击者。澄清一下：在DB中添加密码主要是为了防止攻击者获取DB副本，然后使用字典和/或rainbow表缩小针对哈希密码的搜索空间。salt实际上以明文形式存储在密码旁边，并在散列之前简单地连接到明文密码。它不会使暴力攻击变得更加困难，它只是将字典攻击转化为暴力攻击。密码在传输过程中的安全性取决于SSL，而不是salting.Gotcha。我误解了盐渍等的用法。谢谢你的澄清。