<div dir="ltr">On Sat, Mar 16, 2013 at 6:37 PM, Thomas Gries <span dir="ltr"><<a href="mailto:mail@tgries.de" target="_blank">mail@tgries.de</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


  
    
  
  <div text="#000000" bgcolor="#FFFFFF">
    <div>Am 17.03.2013 01:46, schrieb Jeremy
      Baron:<br>
    </div><div class="im">
    <blockquote type="cite">
      <p dir="ltr">On Mar 16, 2013 7:18 PM, "Thomas Gries" <<a href="mailto:mail@tgries.de" target="_blank">mail@tgries.de</a>>
        wrote:<br>
        > Why not salt-per-user ?</p>
      <p dir="ltr">I'm not sure what you mean.</p>
    </blockquote>
    <br></div>
    It is much safer to add have different salt per user. <br>
    <a href="http://crackstation.net/hashing-security.htm" target="_blank">http://crackstation.net/hashing-security.htm</a><br>
    <br>
    section The RIGHT Way: How to Hash Properly<br>
    ...<br>
    The salt needs to be unique per-user per-password. Every time a user
    creates an account or
    changes their password, the password should be hashed using a new
    random salt. Never reuse a salt.
    The salt also needs to be long, so that there are many possible
    salts. As a rule of thumb, make your
    salt is at least as long as the hash function's output. The salt
    should be stored in the user
    account table alongside the hash. <br>
    <br></div></blockquote><div><br></div><div>We're talking about salt stack, which is a remote execution and configuration management framework. We're not talking about cryptography.<br><br></div><div>- Ryan<br>

</div></div></div></div>