在PKCS5 V2.0標準的官方文檔中,我們可以閱讀「鹽可以被看作是從密碼派生的大量密鑰的索引,並且不需要保密。」PKCS#5鹽的隱私?
「不必保密」部分很有意思。由於salt用於添加大量密碼可能性(或者如果兩個用戶具有相同的密碼,則創建兩個不同的密鑰),那麼讓salt不安全的目的是什麼?
我明白通常情況下,攻擊者通常不會訪問鹽,所以它會使他的工作複雜化以找到正確的密碼。但是如果攻擊者知道鹽,「魔法」在哪裏?知道鹽就像執行傳統的字典攻擊(如果我們排除迭代計數)!
有什麼,我不明白?我知道,瞭解鹽不會破壞安全,但說「不必保密」對我來說聽起來很陌生。
由於這不是語言特定的,我建議您將問題提交到http://security.stackexchange.com/ – 2011-05-30 13:27:51
好的。我不知道這項服務。謝謝。 – 2011-05-30 14:24:01