我已经阅读了很多关于如何实现密码散列的帖子。而且我读过你不应该多次散列密码(嗯,它没有多大帮助,据说)。但为什么不呢?如果我迭代散列密码,假设 10,000,000 次(因为用户可以等待 3 秒完成注册,或者我可以通过发送 AJAX 请求来完成)。
那么,攻击者如何窃取了我的数据库,甚至知道我只是将密码迭代了 10,000,000 次(最坏的情况),如何可能找出用户的密码?他无法创建彩虹表,因为这需要他很长时间(散列密码需要时间,而散列多次散列需要更多时间),暴力破解也是不可能的,那还剩下什么?