9
我正在考慮用兩個不同的salt字符串對用戶密碼進行哈希處理,其中一個存儲在所有用戶都相同的代碼中,另一個存儲在數據庫中,每個用戶都有自己獨特的值。用於散列密碼的雙鹽?
這會比簡單地將值存儲在數據庫中更有效嗎?
任何意見,意見appreiated。
感謝
A
回答
19
效果顯得非常渺小,如果任何事情。考慮一個靜態的,硬編碼的鹽可以被看作是對哈希算法的改變 - 它每次都以完全相同的方式發生,所以它可能被認爲是算法的一部分。
但是鹽的目的是創建一些類似於擴展密碼的(最小)強度的隨機性,目的是使離線開裂(包括彩虹表)更耗費資源(非彩虹表破解將需要更多的CPU時間,而彩虹表將需要所有字符串的鹽)。
只有這樣,你才能從中得到任何值,而靜態鹽是未知的 - 相當於算法未知。如果您的二進制文件或源代碼可供攻擊者使用,則逆向工程將演示算法和硬編碼鹽。
如果這個問題公之於衆,你可能不得不應對來自許多安全愛好者的信條,他們認爲任何不完美的東西都會被徹底破壞,儘管你的產品已經做了正確的事情,而額外的步驟卻毫無用處。
而且,當然,您將不得不面對維護問題 - 具有靜態鹽 - 向後兼容性以及哈希代碼周圍的錯誤修復可能會很痛苦。
靜態鍵(或鹽)的非常小的好處是不值得的成本。始終使鑰匙和鹽具有動態性。
+0
謝謝你,真的很有幫助! – Dan 2010-01-14 16:34:47
相關問題
- 1. 如何用隨機鹽散列密碼?
- 2. 如何加鹽和散列密碼
- 3. 可以從密碼派生鹽,然後散列密碼+派生鹽?
- 4. 散列(與鹽)的用戶名和密碼在PHP
- 5. 使用Linq To SQL鹽漬和散列密碼
- 6. 密碼散列,鹽值和哈希值的存儲
- 7. ASP.NET:SHA1 +多個服務器上的鹽密碼散列
- 8. 散列密碼
- 9. 散列密碼
- 10. 如何在數據庫中存儲鹽漬散列密碼
- 11. 密碼,鹽,散列,DB:第一百萬次
- 12. AES雙向加密加鹽
- 13. 散列密碼的加密?
- 14. LM散列,散列一個長於14個字符的密碼
- 15. 使用md5散列密碼
- 16. 散列用戶密碼
- 17. 散列密碼,SQL
- 18. 加密與散列密碼
- 19. 散列碼的散列碼和等於
- 20. 密碼鹽和祕密
- 21. ASP.NET的密碼哈希和密碼鹽
- 22. 使用含鹽的散列在數據庫中存儲密碼;不知道在哪裏/如何存儲鹽
- 23. 鹽漬散列算法
- 24. 鍵控或鹽漬散列?
- 25. 使用哈希作爲鹽的散列?
- 26. bootstrap-table密碼列散列
- 27. SHA256/SHA512:用於密碼散列和醃製的MySQL代碼
- 28. 爲什麼密碼鹽被稱爲「鹽」?
- 29. 鹽漬密碼哈希不保存鹽
- 30. 密碼恢復與sha1密碼散列
這不是什麼mathoverflow是:它的目的是非常不同的這個網站... – 2010-01-14 16:17:37
@jldupont:它的安全性方面是非常計算機科學雖然:)。 – kennytm 2010-01-14 16:21:41