哈希盐复杂度

Question

使用有什么好处：

sha1($long_unpredictable_randomly_generated_salt.$password.$global_salt)

超过

sha1(sha1($username).$password.$global_salt)

唯一的盐显然存储在数据库中，而全局盐在服务器上的配置文件中。

我知道盐的目的只是为了唯一，并防止预先计算的哈希表..所以我认为sha1($username) 生成的长哈希没有理由不够好.. 但安全性非常重要，我想我会在这里向可能更了解的人寻求信息建议:-)

Answer 1

缺点是用户名大多是已知的，所以当有人知道你编的这个'公式'时，他可以计算sha1(user_to_hack)，这部分不会有任何额外的好处。事实上，在这种情况下，使用sha1(username) 还是只使用username 并没有多大关系。

在另一种情况下，您使用的是未公开的值，因此即使有人知道您的公式（现在每个人都知道），他仍然需要该独特盐的值，然后才能用于他们，所以他们需要访问您的数据库。我假设您正在为每个用户制作独特的盐？

您可能无论如何都需要获取数据，因此唯一盐可能也更快，因为您不需要计算用户名的哈希值。

但无论如何，两者都非常安全，但前提是你很好地实现了实际的登录过程。我不会担心现在使用哪一个。