0

抱歉,如果这是重复的,但我找不到与数据库加密无关的任何内容。我的问题不在于数据库。我有一组使用RijndaelManaged. Rfc2898DeriveBytes在给定密码和盐以及一定次数的迭代的情况下,我用来生成密钥的加密代码。碰巧的是,盐没有安全地存储(只是一个字符串)。

我想知道:有权访问我的代码的人可以轻松获得盐(例如反汇编 dll),当然还有迭代次数。

考虑到密码本身并不那么容易检索(是的,让我们现在理所当然),这有什么安全风险?

我假设没有密码解密是不可能的,或者至少需要一些时间来蛮力......或者是否可以对解密文件进行一些分析?

一个明显的担忧是,被盗代码比被盗数据库更不容易被发现......

4

1 回答 1

0

简而言之,盐可以以明文形式存储。但是,您应该为文件中的每个密码存储一个唯一的盐(请参阅)。这样,没有人可以为文件中存储的所有密码创建彩虹表(请注意,他们仍然可以为文件中的一个密码创建彩虹表)。

有关整个哈希/密码存储过程的更多上下文,请参阅:

散列

于 2013-05-29T00:57:42.007 回答