0
我已經在出版物中看到過這段代碼。它爲生成11次散列帶來了什麼好處?由於熵,它比一個更安全嗎?幾次運行sha512散列函數的好處
var hash = sha512(salt+":"+user+":"+passwd);
for(i = 0; i < 10; i++)
hash = sha512(salt+":"+user+":"+passwd);
A
回答
5
這個例子中的最終散列值並沒有比散列一次更安全(甚至沒有任何不同)。我從所提供的代碼中看到的唯一效果是它需要更長的時間。
關於一些有關重複哈希的鏈接,評論和其他答案,這隻有在隨後的哈希函數應用於之前哈希的輸出時纔有意義。提問者的例子一遍又一遍地清理相同的數據,產生相同的結果。
此代碼可能會更有效:
var hash = sha512(salt+":"+user+":"+passwd);
for(i = 0; i < 10; i++)
hash = sha512(salt+":"+user+":"+passwd+":"+hash);
2
在攻擊者獲得對包含哈希密碼的數據庫的訪問權限的情況下更安全。
多次散列會使攻擊者的速度減慢一個與哈希迭代次數成線性關係的因數,同時嘗試使用暴力攻擊從哈希中猜測純密碼。我認爲10是一個相當小的數字,如果這種情況(攻擊者獲得密碼數據庫的訪問權限)是你關心的問題,那麼我認爲對於更多的迭代比10更好(比如說1000)。
編輯:我剛剛注意到,在這個問題重複哈希總是使用原始密碼,它不是遍地散列再次如下面的代碼
var hash = sha512(salt+":"+user+":"+passwd);
for(i = 0; i < 10; i++)
hash = sha512(salt+":"+user+":"+hash);
我的反應是指這種情況下, (一遍又一遍散列哈希),而不是問題中提到的代碼。
+1
需要注意的是,這是一個非常糟糕的關鍵伸展實現,有一種被證明的方式來做這個迭代,稱爲[PBKDF2](https://en.wikipedia.org/wiki/PBKDF2)。 – martinstoeckli
相關問題
- 1. MD5和SHA512散列算法的輪次
- 2. SHA512散列MYSQL/PHP
- 3. 好的散列函數
- 4. 使用sha512散列整個列
- 5. 良好的字符串散列函數
- 6. C++上的散列函數很好unordered_set
- 7. 良好的加密散列函數
- 8. SHA512散列憑證失敗的驗證
- 9. SHA512散列到C#中的字符串
- 10. 什麼散列函數更好?
- 11. 如何用SHA512散列密碼
- 12. 理解和破解醃製sha512散列
- 13. 使用SHA256 + SHA512散列密碼?
- 14. 處理散列作爲函數參數
- 15. 在列上運行兩次函數
- 16. pyusb:函數運行良好一次,第二次失敗
- 17. 散列函數和餘數運算符
- 18. 運行函數x次數
- 19. 散列函數
- 20. 何處實現散列函數?
- 21. 如何存儲散列值散列中的幾行
- 22. JavaScript函數運行兩次?
- 23. 函數只運行一次
- 24. onBeforeRendering函數運行兩次
- 25. 無限次運行函數
- 26. 運行PHP函數一次
- 27. 運行JS函數一次
- 28. 運行100次函數
- 29. jquery:函數運行兩次
- 30. 函數運行2次。
我不知道,但我想說的好處可能是,如果一些散在某些彩虹表如。 ''somepassword「>」some-hash「',那麼如果你多次散列它,它就不會在這樣的表上找到,或者它需要這個表是10倍大。 – pie6k
這段確切的代碼?這與運行她的SHA512完全相同 - 熵沒有實際變化。最多隻需要稍微延長一點(以防止暴力),但我真的懷疑它會有效。 – vlaz
重複運行相同的哈希變得更加安全,因爲以暴力方式重新創建哈希會變得計算量更大。看看[這個問題]的一些答案(http://softwareengineering.stackexchange.com/questions/115406/is-it-more-secure-to-hash-a-password-multiple-times) – castis