那些遇到过的问题

密码盐:其他最佳实践

Bob*_* Mc 3 cryptography salt

像大多数程序员一样,我不是密码学方面的专家,但我理解基础知识.然而,正如Jeff的博客文章所述,一点点知识可能是一件危险的事情.考虑到这一点,我理解盐值的目的但我需要一些帮助来理解如何使用盐值.

我已经阅读过关于这个主题的其他帖子,最好使用随机盐值来加密每个密码.如果是这种情况,当我尝试对用户进行身份验证时,如何重现该随机盐值?在这种情况下,我会加密用户提供的明文密码,对其进行加密,并将其与存储在数据库中的密码进行比较.在创建密码时,是否将随机盐值与加密密码一起存储在用户记录中?如果黑客拥有完整的用户记录,这会使盐值无用吗?

Amb*_*ber 8

盐的主要目的是在破解密码哈希时防止彩虹表的使用 - 不使用盐,可以简单地使用预先生成的反向查找表来查找哈希并立即知道可能生成它的密码.

使用salt,彩虹表方法被打败了,因为哈希到密码的映射对于特定的盐完全不同 - 因此必须为每个盐值单独生成彩虹表(并且生成彩虹表所花费的时间是在没有彩虹表的帮助的情况下,暴露哈希所需的时间成比例).

由于盐的目的是不允许使用预先生成的彩虹表,无论攻击者是否知道给定用户输入的特定盐,没有真正的理由将其单独存储,只要你是每个条目使用独特的盐.

归档时间:

查看次数:

3023 次

最近记录:

7 年,3 月 前
你在哪里储存盐串? 242
更多相关链接
相关归档
Javascript:使用crypto.getRandomValues在一个范围内生成一个随机数 12
使用公钥端点验证JWT签名 11
AES使用openssl命令行工具加密,并在Java中解密 10
CFFI 在 Python (Linux) 虚拟环境中失败——尝试在 venv 中安装加密包 6
没有命名常量的标准名称 5
了解 Blum Blum Shub 算法。(Python 实现) 3
AES-CTR & AES-GCM 生成的不同密文 3
“密码安全”是什么意思? 2
关于腌制密码的另一个问题 1
使用 PKCS7Padding 在 python 和 Node.js 之间进行 AES 加密 0
难疑归档
如何在另一个JavaScript文件中包含JavaScript文件? 4904
如何在JavaScript中创建字符串大写的第一个字母? 3565
如何使用Git将标签推送到远程存储库? 2091
何时在JavaScript中使用双引号或单引号? 1903
如何有效地计算JavaScript中对象的键/属性数? 1452
为什么Java有瞬态字段? 1406
在Python中反转一个字符串 1288
"无法找到或加载主类"是什么意思? 1277
如何检查字符串是否包含Objective-C中的另一个字符串? 1200
angular.service vs angular.factory 1061