1
我是新來加密和我有一個疑問。這可能是一個愚蠢的問題,但我會問。我知道SHA1不可解密。但是一個快速的想法是,如果黑客創建一個包含兩列的表 - 非加密密碼及其SHA1加密值。並且這些行包含他在6個月內使用程序生成的所有字符組合(例如9億條記錄)的密碼。如果他獲得了SHA1加密密碼,他不能輕易獲得未加密的密碼嗎?
如果是,是否有解決方案來防止這種情況?
在此先感謝。
Q
SHA1不安全?
A
回答
7
您所描述的攻擊稱爲rainbow table。是的,它確實是短密碼的有效擔憂 - 因此是密碼最小長度的典型安全要求。但是,表的大小需要隨密碼長度呈指數級增長;例如,對於每個附加字符,字母數字區分大小寫的密碼將使表增加62倍。因此,計算超過一定的長度變得難以處理。 (僅8個字符都會引起周圍218 萬億組合。)
你可以採取另一種預防措施是salt你的密碼(這可以簡單地涉及計算其散列之前追加一個字符串常量每個密碼)。這樣,即使攻擊者可以訪問預先計算好的彩虹表,它也不會對付你的散列;必須爲每種鹽計算一個新的彩虹表。
1
是的。這就是爲什麼它重要的鹽你的散列。只要您的食鹽已經正確醃製,您所談論的表格類型僅適用於單一密碼。
1
詞典攻擊,如你所描述的,可以通過鹽析散列來防止。從本質上講,你迫使明文的長度和複雜度超出了正在使用的字典的範圍。
實現也很簡單。一種方法是維護一個密碼,如「0shunF1ave」並將其附加到您的明文。因此,不是存儲SHA1(密碼),而是存儲SHA1(「0shunF1ave」+密碼)。當你驗證密碼時,你對像SHA1(「0shunF1av1」+候選人)這樣的候選人執行相同的哈希到最初存儲的哈希,並查看它們是否匹配。
5
防止彩虹表攻擊的常用解決方案是使用Salt。
雖然我會加上,但SHA1並不被認爲是非常安全的。強大的計算機使用強力找到解密的密碼是相當容易的。爲了存儲密碼,建議使用像bcrypt或PBKDF2這樣的慢哈希算法。
相關問題
- 1. 使用javascript sha1安全嗎?
- 2. Sha1哈希多個sha1哈希 - >安全以識別文件?
- 3. 使用與鹽SHA1()安全嗎?
- 4. 使用sha1(md5($ password))安全嗎?它有什麼區別嗎?
- 5. Java安全例外無效SHA1 Jar文件
- 6. SHA1在PBKDF2中作爲散列函數仍然安全嗎?
- 7. CakePHP cookies不安全,不安全
- 8. SHA1不匹配
- 9. PHP SHA1不等於java的SHA1
- 10. Keystore SHA1不同於cert.rsa SHA1 APK
- 11. php sha1不匹配.net sha1管理
- 12. 「不安全-EVAL」
- 13. 是websockets安全還是不安全?
- 14. 不安全和安全的HTTP
- 15. 安全註釋 - 不能安全
- 16. 混合安全和不安全通道
- 17. C#混合不安全/安全庫
- 18. 藍牙SDP安全和不安全
- 19. 使「不安全」代碼塊「安全」
- 20. 藍牙安全與不安全
- 21. 安全xmlhttprequest從不安全的頁面
- 22. 不安全狀態和安全狀態
- 23. 安全和不安全的win32方法
- 24. 數據庫安全性不夠安全
- 25. javascript alert()不安全?
- 26. HTTPS不安全brons
- 27. oauth2不安全嗎?
- 28. Pyramid_beaker:session.type = cookie不安全?
- 29. BindingHelperExtensions.updatefrom/Controller.UpdateModel不安全?
- 30. 安卓遊戲中心,SHA1密鑰
您的9億條記錄的價值來自哪裏?例如,8個字母或數字的密碼給出2.18 * 10^14的可能性。 –
不要嚴重考慮這個數字:D我只是用它來說黑客在他的分貝中有所有密碼組合。 – Matt
你所指的是[彩虹表](http://en.wikipedia.org/wiki/Rainbow_table)。除此之外,這個問題是重複的。 –