0

可能重复:
密码盐如何帮助抵御彩虹表攻击?

在你提到它之前,我已经阅读了这个问题。我没有跟上。

这是我对盐/彩虹表的理解。请纠正我哪里错了。

  1. 用户输入 raw password

  2. passwordsalt给出passwordsalt或连接saltpassword

  3. passwordsalt/saltpassword被散列为 value hash

  4. 进入黑客。

  5. 黑客使用彩虹表反转hashpasswordsalt/ saltpassword

  6. 黑客手中有(示例)字符串letmein1horse

鉴于letmein1horse,这不只是意味着有两种选择:

  1. 密码是letmein1,盐是horse

  2. 密码是horse,盐是letmein1

所以你明白我为什么感到困惑。我的理解显然是有缺陷的,因为如果它是这样工作的,显然盐是无用的。

或者:我的理解是否正确,是整个迭代方案完全消除了这个明显的弱点?

4

2 回答 2

2

彩虹表可以帮助您从散列到具有有限字符集的短序列。例如,彩虹表可能支持所有长度小于 10 个字符的字母数字序列。

A salt is much longer and uses a wider character set. If you use a 128-bit random salt, creating a rainbow table becomes physically intractable.

于 2012-11-25T22:19:05.200 回答
0

攻击者将无法创建散列值(密码+盐)的预计算查找表(即彩虹表),因为它需要对每个盐进行大量计算。一个简单的字典攻击仍然是很有可能的,虽然速度要慢得多,因为它不能被预先计算。来源

于 2012-11-25T22:18:42.377 回答