Ướp muối mật khẩu là một hình thức mã hóa mật khẩu bao gồm việc thêm mật khẩu vào một tên người dùng nhất định và do đó băm chuỗi ký tự mới. Điều này thường được thực hiện thông qua thuật toán băm MD5.
Mật khẩu muối thường được tìm thấy trong các hệ điều hành Linux và nó thường được coi là một mô hình mã hóa mật khẩu an toàn hơn một số mô hình được sử dụng trong một số bản phân phối của Microsoft.
Khi tên người dùng đã được tạo, người dùng thường tạo mật khẩu để liên kết với tên người dùng này. Sau khi người dùng đã gửi mật khẩu đến hệ thống cho phép muối, hệ thống sẽ thêm mật khẩu vào tên người dùng. Do đó, chuỗi ký tự mới được băm.
Đây là một phương pháp mã hóa mật khẩu hiệu quả vì ngay cả khi hai người ghép kênh ngẫu nhiên chọn cùng một mật khẩu, thì tên người dùng của họ sẽ gần như khác biệt vô hạn, do đó dẫn đến một giá trị băm khác nhau.
Salting là một thuật ngữ thường liên quan đến việc băm mật khẩu. Nó là một giá trị duy nhất có thể được chèn vào cuối mật khẩu để tạo một giá trị băm khác.
Điều này chèn một lớp bảo mật cho quy trình băm, đặc biệt là chống lại các cuộc tấn công bruteforce. Tấn công vũ phu là khi một máy tính hoặc mạng botnet cố gắng thực hiện từng bộ chữ và số có thể xác định được cho đến khi mật khẩu được phát hiện.
Salting có thông tin ngẫu nhiên mà các công ty sử dụng trong việc băm mật khẩu hoặc thông tin trong mật mã. Càng nhiều đầu vào thực tế có lợi khi nó xuất hiện để bảo vệ mật khẩu lưu trữ. Salting là một trong những phương pháp được phát triển như một biện pháp bảo vệ hơn để cung cấp cho hệ thống mật khẩu người dùng an toàn chống lại việc đọc trái phép.
Mỗi mật khẩu có một muối duy nhất được tạo và xử lý bằng hàm băm mật mã trong một cài đặt chung. Trong phương pháp này, hệ thống lưu giá trị băm đầu ra và muối trong cơ sở dữ liệu an toàn.
Hàm băm có lợi cho quản lý mạng và hệ thống, những người cần thực hiện quy trình xác thực mà không tranh chấp mật khẩu văn bản rõ.
Muối cũng có thể được tạo ra từ một số phần bao gồm ngày-giờ hiện tại, tên người dùng, một quy trình bí mật, một giá trị ngẫu nhiên hoặc một tập hợp chúng. Ví dụ:Bcrypt là một thuật toán băm có sử dụng các muối duy nhất trên mỗi băm theo mặc định.
Nếu muối không được đưa vào băm, thì kẻ tấn công có thể đưa ra kết luận cụ thể. Ví dụ, nếu một số giá trị băm giống nhau, kẻ tấn công có thể quyết định rằng máy chủ sử dụng mật khẩu mặc định cho tất cả các tài khoản mới hoặc dự báo mật khẩu nào ánh xạ tới ahash và giành quyền truy cập vào tất cả các tài khoản đó.
Bằng cách ướp muối băm, nó có thể bảo mật danh sách mật khẩu chống lại các cuộc tấn công vũ phu. Tấn công bằng vũ lực là một cách tiếp cận trong đó tội phạm mạng sử dụng một máy tính hoặc các máy tính khác nhau (botnet) để thử từng bộ số và chữ cái có thể cho đến khi tìm thấy mật khẩu.