那些遇到过的问题

盐和密码 - 前缀或后缀

Raj*_*Rao 4 security encryption passwords salt

这是一个关于需要散列的加盐短语的问题。

我想知道将盐放在短语前面或后缀是否更安全?盐+短语或短语+盐

我的问题来自MD5s上这篇文章的评论。我不确定我是否理解作者评论背后的推理。

Sam*_*ron 5

盐加在前面还是后面都没有区别。

但以下因素会影响安全性

  1. 你的盐是私有的吗(如果是的话,它的私有程度如何?)。越私密越好。这意味着,如果您可以避免将盐存储在数据库中,即使您的数据库受到损害,您也可以使您的系统免受暴力攻击。
  2. 您的盐是按值随机加盐的吗?如果您的数据库遭到破坏并且您的盐存储在数据库中,这有助于防御彩虹表攻击。注意:如果存储的密码足够长,它们就可以免受暴力攻击。
  3. 你的盐够长吗?你的盐越长,你就越安全。

  • 这不是我(我投了赞成票),但我猜是因为你的第一颗子弹。私人盐并不能真正增加安全性。即使破解者能够访问哈希值和盐,只要盐足够长并且每个密码都是随机的,彩虹表在计算上也是令人望而却步的。 (4认同)
  • @SamSaffron:这是一个死灵回复,但在盐前面加上前缀是一个坏主意,因为它使暴力破解密码变得更容易。如果对“sssspppp”的盐/密码字节进行散列,攻击者可以计算已知“ssss”部分的散列状态,然后将其用作重复攻击未知“pppp”部分的“大本营”。 (2认同)

归档时间:

查看次数:

4857 次

最近记录:

6 年,8 月 前
保存密码:最佳实践? 157
更多相关链接
相关归档
一块用于防止黑客攻击的PHP代码 7
如何使用实际订单ID生成唯一订单ID(仅显示touser)? 7
Android中可能存在哪些安全问题 6
为什么JCE初始化需要MD5 6
为 api 访问生成安全令牌 6
来自 NDK/JNI 的 Android APK 篡改检测 6
在密码箱的某些事件上显示密码字符 5
从 Java 程序更改 Active Directory 用户密码 4
PHP $_GET 安全性、$_POST 安全性最佳实践 3
我是否需要保护未连接到数据库的表单 2
难疑归档
For-each在JavaScript中的数组? 4448
将本地存储库分支重置为远程存储库HEAD 3488
如何使用jQuery刷新页面? 2361
深度克隆对象 2135
为什么在重写Equals方法时重写GetHashCode很重要? 1371
Android Studio中的Gradle是什么? 1257
如何找出哪个DOM元素具有焦点? 1234
如何在Java中将数字舍入到n个小数位 1209
我如何修剪空白? 1035
如何删除选择框的所有选项,然后添加一个选项并使用jQuery选择它? 1028