11
为什么盐会使字典攻击“不可能”?
更新:请注意,我并不是在问盐是什么,彩虹表是什么,字典攻击是什么,盐的目的是什么。我正在查询:如果您知道用户盐和哈希,那么计算他们的密码不是很容易吗? 我了解该过程,并在我的一些项目中亲自实施了该过程。 s = random salt storedPassword = sha1(password + s) 在您存储的数据库中: username | hashed_password | salt 我所见过的每一种盐化实现都在密码末尾或开头添加盐分: hashed_Password = sha1(s + password ) hashed_Password = sha1(password + s) 因此,来自黑客的字典攻击值得他的盐分(哈哈),只需按上面列出的常见组合针对存储的盐分运行每个关键字。 当然,上述实现只是为黑客增加了又一步,而没有真正解决根本问题?有什么替代方案可以解决此问题,还是我误解了该问题? 我唯一想做的是拥有一个秘密混合算法,该算法以随机模式将盐和密码绑在一起,或者将其他用户字段添加到哈希过程中,这意味着黑客将不得不访问数据库并绑上代码他们通过字典攻击证明卓有成效。(更新,如评论中指出的那样,最好假设黑客可以访问您的所有信息,所以这可能不是最好的)。 让我举一个例子,说明我如何建议黑客使用一系列密码和哈希值来入侵用户数据库: 来自被黑数据库的数据: RawPassword (not stored) | Hashed | Salt -------------------------------------------------------- letmein WEFLS... WEFOJFOFO... 常用密码字典: Common Password -------------- letmein …