Flask - generate_password_hash不是常量输出

Question

在烧瓶中,

当我尝试werkzeug.security.generate_password_hash("Same password")多次运行时,每次输出都不同？

我究竟做错了什么.为什么不恒定？

我猜它与设置盐有关？

Answer 1

密码是盐渍的,是的.在散列之前将salt添加到密码中,以确保散列在彩虹表攻击中不可用.

因为每次调用函数时都会随机生成salt,所以生成的密码哈希值也会不同.返回的哈希包括生成的salt,因此仍然可以正确验证密码.

演示:

>>> from werkzeug.security import generate_password_hash
>>> generate_password_hash('foobar')
'pbkdf2:sha1:1000$tYqN0VeL$2ee2568465fa30c1e6680196f8bb9eb0d2ca072d'
>>> generate_password_hash('foobar')
'pbkdf2:sha1:1000$XHj5nlLU$bb9a81bc54e7d6e11d9ab212cd143e768ea6225d'

这两个字符串不同; 但包含足够的信息来验证密码,因为生成的盐包含在每个密码中:

# pbkdf2:sha1:1000$tYqN0VeL$2ee2568465fa30c1e6680196f8bb9eb0d2ca072d
  ^^^^^^^^^^^^^^^^   salt   ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
      algo info    ^^^^^^^^        actual hash of the password
  (PBKDF2 applied SHA1 1000 times)

因为随机盐是tYqN0VeL一个XHj5nlLU,所产生的哈希也是不同的.

该foobar密码仍然可以对任一哈希验证:

>>> from werkzeug.security import check_password_hash
>>> check_password_hash('pbkdf2:sha1:1000$tYqN0VeL$2ee2568465fa30c1e6680196f8bb9eb0d2ca072d', 'foobar')
True
>>> check_password_hash('pbkdf2:sha1:1000$XHj5nlLU$bb9a81bc54e7d6e11d9ab212cd143e768ea6225d', 'foobar')
True

另见

• 你能帮我理解一下加密的"盐"是什么吗？(Cryptography.SE)
• 为什么使用盐更安全？(Security.SE)