对强、唯一(用户不用于其他应用程序)密码的加盐密码有什么好处吗?
加盐(据我所知)可以防止使用字典或通用密码生成的彩虹表。它还可以防止攻击者注意到另一个应用程序中具有相同哈希的用户。
看到强密码(可能)不会出现在生成的彩虹表上,并且聪明的用户将为他想要保护的每个应用程序使用唯一的密码,加盐是否保护已经“聪明”的用户?
这是理论上的。我不想停止腌制。
本质上,盐不只是成为密码的一部分吗?它恰好是由网守而不是用户提供的。
问问题
222 次
4 回答
8
如果您可以保证所有用户永远不会重用密码,并且他们的密码永远不会是预先计算冲突哈希的计算可行的形式,那么盐确实没有什么额外的好处。
然而,盐的额外成本也很少;而这些前提确实很难保证,而且错误的成本很高。保留盐。
于 2009-12-20T20:43:41.807 回答
1
除了彩虹表之外,还有用于解析哈希的暴力破解工具。这不会阻止解析未加盐的哈希。密码越强,它只需要更长的时间。加盐当然仍然有意义。
于 2009-12-20T20:40:19.903 回答
1
这感觉就像您想做出假设,然后将您的安全性建立在该假设之上。当您的假设变得糟糕时,无论出于何种原因,您的安全性都会变得糟糕。
那么您的假设(强密码不需要加盐)如何变得无效?
1)随着时间的推移,会生成更大、更全面的彩虹表。如果由您的用户选择强密码,我会担心这一点。他们可能认为他们做得很好,您和您的安全检查人员可能也认为他们做得很好,但后来发现他们创建密码的思维过程很容易通过将几个单词和数字串在一起来复制。
2) 如果用户无法选择他们的密码,那么您的强密码生成过程可能会由于错误或其他原因而变得不如您想要的那么强。
3)您的用户可能懒得想出一个站点唯一/强密码!这无疑是最重要的问题。你真的想生成一个只有密码专家才能使用的系统吗?:)
于 2009-12-20T20:44:46.453 回答
1
彩虹表绝对不限于字典密码等。大多数人倾向于包含最大长度的每个字符组合 - 毕竟,这是生成的一次性成本。您的用户是否都使用超过 12 个字符的密码?不太可能。
于 2009-12-20T20:44:50.593 回答