问题标签 [saltedhash]

我正在阅读一些关于盐和密码哈希的文章，一些人提到了彩虹攻击。彩虹攻击到底是什么，防止它的最佳方法是什么？

好的，我正在尝试了解使用盐的原因。

当用户注册时，我会为他/她生成一个唯一的盐，并将其存储在数据库中。然后我用 SHA1 对它和密码进行哈希处理。当他/她登录时，我用sha1($salt.$password).

但是如果有人破解了我的数据库，他可以看到散列密码和盐。

这比不加盐对密码进行哈希处理更难破解吗？我不明白……</p>

对不起，如果我是愚蠢的......</p>

我正在使用 Adam Griffiths 的 CodeIgniter 身份验证库，并且正在调整用户模型。

我遇到了一个他用来生成令牌的生成函数。

他首选的方法是从 random.org 引用一个值，但我认为这是多余的。我正在使用他随机生成 20 个字符长字符串的后备方法：

然后他使用盐对这个令牌进行哈希处理（我正在组合来自不同函数的代码）

我想知道是否有任何理由通过加盐哈希运行令牌？

我读过简单地随机生成字符串是制作随机密码的一种天真的方式，但是 sh1 哈希和盐是必要的吗？

注意：我从https://www.grc.com/passwords.htm获得了我的加密密钥（63 个随机字母数字）

我一直在查看 hashlib 文档，但没有发现任何关于在散列数据时使用盐的内容。

帮助会很棒。

我正在浏览 Michael Hartl 的书（真棒，免费资源，顺便说一句，谢谢 Michael！）我有一个关于加盐和散列密码的问题。加盐密码的目的是防止黑客执行彩虹攻击，如果我理解正确的话，如果黑客能够猜出所使用的加密类型，这基本上是一种蛮力攻击。为了防止这种攻击，在加密之前使用盐来随机化密码，但是盐必须与加密密码一起存储？如果是这样，那么如果黑客可以访问数据库并检索加密密码，那么他们不能也检索盐并继续进行彩虹攻击吗？

这是迈克尔的流程代码示例......

非常感谢！

我需要实现一个忘记密码页面，但我的密码是加盐和散列的。所以我不能按惯例检索它们。我的想法是执行以下操作：

• 当用户单击忘记密码链接时，他们自然需要输入他们的电子邮件地址（这也是他们的用户名）。

• 他们的密码被重置为我制作的散列和加盐密码。然后，我向他们发送一封电子邮件，其中包含指向新页面的链接，他们可以在其中输入新密码。

• 该链接包含新的散列和加盐密码（作为 $_GET 变量），仅用于身份验证。

• 我只是从链接中获取 $_GET 变量，针对数据库中的条目和哈希和盐新密码进行身份验证，然后插入到数据库中。

这有多安全？对于不会轻易成为垃圾邮件发送者和暴力攻击者目标的网站。

提前致谢。

我正在寻找一个可以为我做一些加盐（MD5）散列的程序。为了减少对我的系统的影响并提高速度，我想通过 GPU 运行计算。所以我有几个问题：
1）Java 是否对 GPU 处理有原生支持？
2) Java 是否具有对加盐 MD5 散列的本机支持？
3）有人知道已经这样做的开源程序吗？
4) 还有什么你认为可能有帮助的吗？
感谢您回答任何或所有问题，即使只是指向相关文档的链接。
谢谢。

我正在更新我的helper函数库。我想知道salt密码加密是否太多？

有什么区别：

简单地说：

AY_HASH作为salt. 我应该更喜欢哪个，如果两者都不好，最好的选择是什么？

我有一个场景，我需要为单个订单生成 4 位数的确认码。我不想只做随机代码，因为几乎同时生成两个确切代码的可能性很小。有没有办法使用每个订单的 id 并从中生成一个 4 位代码？我知道我最终会有重复的代码，但这没关系，因为它们不会在同一时间生成。

我最近开始了设置 PureFTP 服务器的任务。在工作中，我们使用 Postgresql 8.4。架构基本上归结为，

password存储为 的哈希值sha1( password + salt )。使用 Postgresql 的 pgcrypto 我可以提供一个username,password并找出用户是否有身份验证：

现在我遇到的问题是这样的功能需要我将密码输入查询。Pureftp 当前的 auth-postgresql 实现似乎无法做到这一点。它仅支持提供：

还有其他方法可以做到这一点吗？我要么需要将密码输入查询，要么取出盐和密码并找到另一种在 Pureftp 中编写代码的方法。

显然，我还有另一种编写自定义身份验证模块的选择，但我认为 pg 模块将支持这种基本的加盐。

参考

• 纯 FTPd 的 Postgresql-auth 文档
• Postgresql 8.4 的 pgcrypto