密码输入真的有意义吗?
如果程序执行SALT服务器端的所有处理,那么它确实使得暴力或其他攻击变得更加困难。该代码仅将盐应用于用户输入的任何内容。
我是否完全错了?
答案 0 :(得分:1)
是的,密码输入是有意义的。
关键是每个密码都有自己的盐,因此攻击者不能使用字典和彩虹表来一次强制所有密码。
盐不会使单个密码¹更难破解,但它会消除尝试一次破解多个密码的好处。攻击者必须一次强制使用一个密码。
¹至少不足以成为使用它的好理由。使用更好的密码效果会更好。
答案 1 :(得分:0)
总之,是的。
密码密码会增加字符串的复杂程度并使人感到困惑,并使字典攻击不太可能成功。
然而,蛮力仍然可以破解这个密码,因此需要随机生成的盐。盐通常通过字节数组生成,然后将其输入函数以将两个字符串间隔合并为一个。请参阅我的回答here。
答案 2 :(得分:0)
哈希值可能会在没有盐的情况下泄露(常见情况:数据库被转储,但是我在PHP源代码中存在的盐不会泄漏)。
答案 3 :(得分:0)
你在某种程度上是正确的但是......对SALT最重要的保护是,如果哈希值被释放到野外,那么反向哈希查找要困难得多。
哈希一个单词,然后将哈希结果放入您最喜欢的搜索引擎中,看看我的意思。