<tt><font size=2>Rick van Rein wrote on 09/10/2009 10:09:13 AM:<br>
<br>
> Salt is used to make dictionary attacks harder, and the more generic<br>
> a dictionary can be used, the more likely such an attack becomes.</font></tt>
<br>
<br><tt><font size=2>The input to the hash function is unique per deployment,
regardless if everyone uses the same salt.</font></tt>
<br><tt><font size=2><br>
> So, in order to be less predictable, salts must be changed as often<br>
> as is practical, </font></tt>
<br>
<br><tt><font size=2>In order to change it, you'd need to have a salt first.
And that salt can be the same for everyone.</font></tt>
<br><tt><font size=2>The changing over time needs to be a change from the
_previous_ salt.</font></tt>
<br>
<br><tt><font size=2>> ideally every time before using it.</font></tt>
<br>
<br><tt><font size=2>Again, why _before_ using it?</font></tt>
<br>
<br><tt><font size=2>> Installing a system with the same salt everywhere
is exactly as good<br>
> as not salting at all.<br>
</font></tt>
<br><tt><font size=2>Right. The same is true for the same salt every. Only
when you change the salt, salting becomes valuable.</font></tt>
<br>
<br><tt><font size=2>Kind regards,</font></tt>
<br>
<br><tt><font size=2>Roy Arends</font></tt>
<br><tt><font size=2>Sr. Researcher</font></tt>
<br><tt><font size=2>Nominet UK</font></tt>