彩虹表:如何防御它们？

Question

我最近获得了Windows的l0pht-CD,并在我的电脑上试了一下它工作!

2600hertz.wordpress.com/2009/12/22/100-windows-xp-vista-7-password-recovery

• 我还读过 kestas.kuliukas.com/RainbowTables/

我正在设计一个以类似方式存储pwd-s的"登录模拟器".目前的实施将容易受到上述攻击.Plz可以任何人(尽可能简单地说明),如何加强对抗这样的彩虹表攻击.

我的目标:构建"登录模拟器"以尽可能安全.(阅读黑客竞争;-))

谢谢.

Answer 1

由于彩虹表是用于各种密码的一系列预先计算的哈希链,因此通过向密码添加盐很容易使其失效.因为散列函数通常会消除输入和输出之间的大部分局部对应关系(也就是说,输入的微小变化会产生大的,看似无关的输出变化),即使是小盐也会非常有效.

最重要的是,盐不需要保密,因为这是有效的; 对于所有可能的密码 - 盐组合,需要重新计算彩虹表.

Answer 2

你应该使用专业密码学家设计的bcrypt来完成你正在寻找的东西.

在一般情况下,你应该从来没有发明自己的加密/散列方案.
密码学非常复杂,你应该坚持已经证明有效的方法.

但是,您的问题的基本答案是添加随机的每用户盐,并切换到较慢的哈希.