我很奇怪,让黑客知道哈希算法是否安全?
当我使用BlowFish对密码进行哈希处理时,开始时会有$2y$10$,我当时想这对于黑客不知道并努力寻找我们使用的算法不是更好吗? (for example, they have access to our database)
答案 0 :(得分:2)
我们不会因安全隐晦而保护自己。即使攻击者可以访问所有内容,我们也需要保护。
如果我们在Hashcat看一些数字,它可以为单个
在p3 16xlarge上计算53915 H/s Blowfish哈希
Tesla V100-SXM2-16GB, 4038/16152 MB allocatable, 80MCU
每小时可以计算大约2 ^ 49个哈希。
基于此,您需要准备密码的长度并应用密钥扩展(大约10000次迭代)以减少搜索的时间。
更好地切换Argon2,它是密码竞争的winner。 Argon2可以对抗并行化,并可以增加迭代次数以降低单个搜索的能力。
对于数据库,您需要非常重要的加密。如果仅数据库服务器被破坏,那么您将很安全。但是,在复杂的攻击中,攻击者可能也想窃取加密密钥。他们不惜一切代价保护数据库安全。
答案 1 :(得分:1)
您不想给黑客提供任何线索,可能会帮助他们破解密码。
能够破解一个密码甚至会在其他地方造成损害。
想象一下,黑客获得了访问权,并设法破解了与电子邮件地址关联的密码...如果用户对其他站点使用相同的密码,那么这种违法行为将会继续。
如果黑客网站A导致黑客网站B可能在您的配偶网站上作弊怎么办?
我说,是的,这应该是一个问题。
答案 2 :(得分:0)
好问题。该算法的要点是它不易破解。因此,从理论上讲,这并不重要。话虽这么说,但是随着技术的进步,一些算法会被破解,这是一个问题,如果有人拥有原始字符串并且正在使用破解的算法,那么就可以将其公开。
但是我认为,如果黑客可以访问您的数据库,那么您将遇到的问题远不止于此:-)
有关类似问题,请参见此答案:https://security.stackexchange.com/a/197237/29307