我對密碼散列有什麼誤解？

Question

這是我的理解，哈希函數將始終返回相同的結果時，饋送相同的數據。但我一直在使用libsodium（通過節點鈉），這不是發生了什麼。

我有這個在我的架構：

​​

我得到記錄與該代碼三種不同的字符串。例如

$argon2i$v=19$m=32768,t=4,p=1$ayPVQ1X+xNhWmD9S5AUuaw$1mWusk59AebhzOHhl+j5JpvmRI27Pq57XG5zcAB5R4U 
$argon2i$v=19$m=32768,t=4,p=1$PjTYKpfhh1bZh+MV84Y9kA$9+U33nf6efuugsrz15cEKDa5+rAHgYVA5Kqo4F1G3DE 
$argon2i$v=19$m=32768,t=4,p=1$Ii8AErmAFc0na9Yi2OgCkw$ySU80Fv9OiOmeT9EV/BWon1Jjck2Lx23nOeCk0wkMPU 

現在每個那些第一部分是一樣的，讓我的事情提交的密碼部分是相同的（因爲它是被散列緩衝區的第一部分）。所以也許是我不明白的緩衝區。

但是如果buf保持不變，爲什麼saltedPassBuff的其餘部分會發生變化？

編輯：還沒有寫完的時候，我不小心提交，編輯寫完問題

Answer 1

除了你的鹽pwhash函數（文檔是最小的）最有可能還添加了它自己的隨機鹽，它也包含在結果中供以後比較使用crypto_pwhash_str_verify。

還有一個「CPU密集型」方面，可能是一個迭代。僅僅使用哈希函數和鹽並沒有提高安全性。需要添加CPU密集型組件，如迭代。

重點是讓攻擊者花費大量的時間通過暴力破解密碼。

Answer 2

正如其名稱所暗指，輸出醃製。這意味着在散列之前將一個隨機字符串添加到密碼中，並單獨包含在輸出值中。

這樣做的目的是擊敗dictionary attacks。通過在散列之前爲每個密碼添加一個隨機字符串，可以確保相同的密碼散列不同，從而迫使攻擊者分別破解每個密碼。