好的,所以我一直在阅读(很多!)关于安全性以及关于散列,腌制,加密等的整个交易以及我一直看到的东西真的让我烦恼。似乎很多人似乎真的知道他们的东西一直说可以在数据库中存储带有哈希密码的盐。
我不禁想知道,为什么?如果您的数据库被转储怎么办?他们可以访问所有内容,对我而言,这意味着他们可以查看任何一条记录,并且瞧瞧(!)哈希密码和旁边的纯文本盐。这给了他们在彩虹表和/或字典攻击下运行它所需的信息不是吗?
我必须遗漏一些东西(是的,以前从来没有发生过!!)并且真的会对此事有所启发。
答案 0 :(得分:13)
彩虹表对一组不同盐渍的密码无效,即使已知盐;你必须为每种盐建立一个不同的表,这会破坏彩虹表的整个目的。攻击者可以更快地分别强制使用每个密码。这是每用户盐的目的。
换句话说,彩虹表仅在您尝试使用相同的摘要算法打破所有以相同方式消化的密码时才有效。为每个密码投入不同的盐意味着密码不都以相同的方式消化。