https://stackoverflow.com/questions/674904/salting-your-password-best-practices” 关于盐类最佳做法的讨论,似乎压倒性的建议是,为每个密码生产一种不同的盐类,并与数据库的密码一起储存。
然而,如果我正确理解盐类的目的,那就是减少因雨桌攻击而使你失去的机会。 因此,我的理解是,通过储存数据库,每个用户最好改变数据库,但如果该盐在数据库附近无处位置,则什么? 如果I将单一盐价储存在法典中(在网络服务器上将装成堆),那么如果攻击者在某种程度上能够进入数据库,那么该数值会达到同样的目的? 在我看来,这似乎更为安全。
食盐的用途是要求恢复每口雨桌。 如果你使用单一盐类,则黑客/摇cker者只得一劳永逸地恢复雨布桌。 但是,如果每个用户能随机生成一个用户,他就必须生成一个用户。 更昂贵的黑客。 因此,如果黑客知道盐量超过一,你就可以在平原中储存盐。
肥胖症的安全并不好,微型软件告诉我们:
一份盐的价值在于对每个用户都不同。您还需要能够检索此非唯一值,以便重新创建已散列值以进行比较。
如果你储存每个密码使用的单一盐价,那么你首先会大大减少盐类的价值。
......直至攻击者获得进入DLL。
除其他答复外,还应指出,袭击者可以以同样的方式 figure出你的盐类: 鉴于众所周知的口号(他本人),他可以对可能的盐类进行残酷的武力攻击。
从盐类学到的教训是:多样性和公平(安全)
