假设用户注册了您的网站,您对他们选择的密码进行哈希处理,然后将该哈希用作盐,并使用该盐重新对他们的密码进行哈希处理。
例子:
String hash1 = MD5(password);
String endHash = MD5(hash1 + password);
然后将 endHash 存储在您的数据库中。如果我的数据库遭到破坏,这是否能有效抵御 Rainbow Table 攻击?还是我错过了一些容易破坏的东西?
【问题讨论】:
这是关键强化 (http://en.wikipedia.org/wiki/Key_strengthening),一种很好的技术,但不能替代实际的盐。它不会保护您免受使用此双哈希函数编写的彩虹表的影响。
【讨论】:
加盐的目的是防止使用巨大的预先计算好的表格。使用这种方法可以计算任何密码的哈希值,而无需访问您的数据库。您应该存储一个随机值并将密码和该值一起散列。
【讨论】:
散列密码的弱点在于攻击者对您的散列函数的了解。如果他们知道您的哈希函数但不知道您的盐,则盐保护了您的密码。如果他们知道哈希函数和你的盐,你的数据就有风险。
因为这适用于您的问题 - 使用动态盐通常会使您更难以计算出您的盐。这提高了安全性,但如果有人知道您的算法,则无济于事。
以这种方式增加您的复杂性确实会使您的系统更难破解。然而,只要有足够的资源,没有什么是不可破解的。
【讨论】:
【讨论】:
没什么区别:您存储的数据仍然完全基于密码,因此没有额外的保护。
【讨论】:
此外,您应该避免使用 MD5,而使用当前强大的哈希算法,例如 SHA1、SHA-256、SHA-512。
【讨论】: