Ada*_*Lee 2 security hash saltedhash
从这个网站http://codahale.com/how-to-safely-store-a-password/:
重要的是要注意盐对于防止字典攻击或暴力攻击是无用的.
如果盐无法阻止字典攻击,为什么要使用盐?
对于单个密码,它没有那么大的差别.强制使用未加密码的密码与强制使用加密密码一样难.你只需要尝试按键直到受到打击.
当存在大量密码时,例如在泄漏的数据库中,存在差异.基本思想是,在破解许多密码时,可以重复使用部分必要的计算.这是通过构建彩虹表来完成的.这样做计算成本很高,但一旦完成,攻击者就可以相对快速地破解大量密码.N使用彩虹表破解密码要快得多,而不是N单独强制使用这些密码.
如果每个密码都使用单个盐进行哈希处理,则无法以相同方式重复使用信息.您仍然可以构建彩虹表,但它们只能用于数据库中的一个密码,这使得它们无用.因此,为了破解N密码,您必须N单独强制所有密码,这对攻击者来说通常是不切实际的.
此外,对于无密码密码和流行的哈希算法,您只需从Internet下载预先计算的彩虹表即可.所以攻击者甚至不必自己计算它们.他只需下载一个表并查找特定哈希的密码即可.盐阻止了这一点.
无保留的哈希也有缺点,即具有相同密码的两个用户的密码哈希是相同的.因此,如果攻击者发现多个用户使用相同的密码哈希,他只需要破解该密码一次.
| 归档时间: |
|
| 查看次数: |
1790 次 |
| 最近记录: |