我開始一個網站,我正在嘗試決定如何加密用戶密碼以將它們存儲在SQL數據庫中。用隨機鹽改善密碼哈希
我意識到使用簡單的md5(密碼)是非常不安全的。我正在考慮使用sha512(password.salt),我一直在研究生成有用鹽的最佳方法。 我閱讀了大量文章,指出鹽應儘可能隨機添加到散列熵,它看起來像個好主意。但是:
- 需要一起存儲在隨機鹽與哈希
- 給攻擊者以某種方式取得了您的哈希密碼(並試圖扭轉哈希爲純文本),這意味着他可能傾銷您的數據庫,然後獲得訪問您的隨機鹽
是不是很明顯,在數據庫中散列旁邊的怪異看起來的價值是鹽?如果攻擊者可以隨同哈希值一起訪問salt,那麼更安全嗎?
任何人都有該領域的專業知識?謝謝!
不要忘記,畢竟這仍然需要好的密碼。 – 2012-02-23 20:41:08
@PeeHaa:攻擊者不需要每個鹽值的彩虹表嗎? – 2012-02-23 21:01:19
鹽是有防止彩虹表攻擊。現在攻擊者不得不爲每條記錄創建一個彩虹表,而不是每個記錄的一個。 – PeeHaa 2012-02-23 21:21:37