9
我正在考虑用两个不同的salt字符串对用户密码进行哈希处理,其中一个存储在所有用户都相同的代码中,另一个存储在数据库中,每个用户都有自己独特的值。用于散列密码的双盐?
这会比简单地将值存储在数据库中更有效吗?
任何意见,意见appreiated。
感谢
A
回答
19
效果显得非常渺小,如果任何事情。考虑一个静态的,硬编码的盐可以被看作是对哈希算法的改变 - 它每次都以完全相同的方式发生,所以它可能被认为是算法的一部分。
但是盐的目的是创建一些类似于扩展密码的(最小)强度的随机性,目的是使离线开裂(包括彩虹表)更耗费资源(非彩虹表破解将需要更多的CPU时间,而彩虹表将需要所有字符串的盐)。
只有这样,你才能从中得到任何值,而静态盐是未知的 - 相当于算法未知。如果您的二进制文件或源代码可供攻击者使用,则逆向工程将演示算法和硬编码盐。
如果这个问题公之于众,你可能不得不应对来自许多安全爱好者的信条,他们认为任何不完美的东西都会被彻底破坏,尽管你的产品已经做了正确的事情,而额外的步骤却毫无用处。
而且,当然,您将不得不面对维护问题 - 具有静态盐 - 向后兼容性以及哈希代码周围的错误修复可能会很痛苦。
静态键(或盐)的非常小的好处是不值得的成本。始终使钥匙和盐具有动态性。
+0
谢谢你,真的很有帮助! – Dan 2010-01-14 16:34:47
相关问题
- 1. 如何用随机盐散列密码?
- 2. 如何加盐和散列密码
- 3. 可以从密码派生盐,然后散列密码+派生盐?
- 4. 散列(与盐)的用户名和密码在PHP
- 5. 使用Linq To SQL盐渍和散列密码
- 6. 密码散列,盐值和哈希值的存储
- 7. ASP.NET:SHA1 +多个服务器上的盐密码散列
- 8. 散列密码
- 9. 散列密码
- 10. 如何在数据库中存储盐渍散列密码
- 11. 密码,盐,散列,DB:第一百万次
- 12. AES双向加密加盐
- 13. 散列密码的加密?
- 14. LM散列,散列一个长于14个字符的密码
- 15. 使用md5散列密码
- 16. 散列用户密码
- 17. 散列密码,SQL
- 18. 加密与散列密码
- 19. 散列码的散列码和等于
- 20. 密码盐和秘密
- 21. ASP.NET的密码哈希和密码盐
- 22. 使用含盐的散列在数据库中存储密码;不知道在哪里/如何存储盐
- 23. 盐渍散列算法
- 24. 键控或盐渍散列?
- 25. 使用哈希作为盐的散列?
- 26. bootstrap-table密码列散列
- 27. SHA256/SHA512:用于密码散列和腌制的MySQL代码
- 28. 为什么密码盐被称为“盐”?
- 29. 盐渍密码哈希不保存盐
- 30. 密码恢复与sha1密码散列
这不是什么mathoverflow是:它的目的是非常不同的这个网站... – 2010-01-14 16:17:37
@jldupont:它的安全性方面是非常计算机科学虽然:)。 – kennytm 2010-01-14 16:21:41