windows - 彩虹桌：如何防御它们？

Question

我最近获得了适用于 Windows 的 l0pht-CD，并在我的 PC 上试用了它，它可以工作！！

2600hertz.wordpress.com/2009/12/22/100-windows-xp-vista-7-password-recovery

• 我也读过 kestas.kuliukas.com/RainbowTables/

我正在设计一个以类似方式存储 pwd-s 的“登录模拟器”。当前的实现将容易受到上述攻击。请任何人都可以说明（尽可能简单地），如何加强对这样的彩虹桌攻击。

我的目标：构建“登录模拟器”以尽可能安全。（阅读黑客竞赛 ;-)）

谢谢你。

Answer 1

由于彩虹表是一系列预先计算的各种密码的哈希链，因此很容易通过在密码中添加盐来破坏它。因为散列函数通常会消除输入和输出之间的大部分本地对应关系（也就是说，输入的微小变化会产生大的、看似无关的输出变化），即使是很小的盐也会非常有效。

最重要的是，盐不需要保密就可以有效。彩虹表需要为所有可能的密码盐组合重新计算。

Answer 2

您应该使用bcrypt，它是由专业密码学家设计的，可以完全满足您的需求。

一般来说，您永远不应该发明自己的加密/散列方案。
密码学非常复杂，您应该坚持使用已被证明有效的方法。

但是，您问题的基本答案是为每个用户添加随机盐，并切换到较慢的哈希值。