我刚读了article。它说:
所以我不是说盐是没有目的的,我说的是他们 不要阻止字典或暴力攻击(他们没有)。
如果您有数据库转储,使用散列密码和salt,只有在您知道crypt算法的情况下才能启动暴力破解。如果您使用开源,则可能会出现问题。但是如果你稍微改变算法,那就不是问题了,直到有人知道它。我对吗?
答案 0 :(得分:5)
Troy Hunt最近撰写了一篇精彩文章Our password hashing has no clothes,详细介绍了密码哈希的演变,包括Salts。
虽然Salts阻止了与预先散布的彩虹表的直接比较,但他的观点是,硬件已经改进到将盐应用于未加盖的彩虹密码并且由于摩尔定律现在可以在短时间内完成盐腌哈希的比较
正如Trickfire所述,使用专有的哈希算法是通过默默无闻的安全性。如果攻击者拥有您的数据库,他也可能会获得您的应用并对其进行反汇编并获取算法。
答案 1 :(得分:1)
虽然它使得识别密码的问题变得更难,但不建议依赖这种技术。