将盐存储在代码中而不是数据库中

Question

有一对关于盐最佳实践的精彩讨论，似乎压倒性的建议是为每个密码生成不同的盐并将其与密码一起存储在数据库中。

然而，如果我正确理解盐的目的，它是为了减少你受到彩虹表攻击的机会。 因此，我知道通过将其存储在数据库中，最好为每个用户更改它，但是如果盐离数据库很远怎么办？ 如果我在代码中存储单个盐值（该值将在 Web 服务器上的编译 dll 中），那么如果攻击者以某种方式获得对数据库的访问权限，这不会达到相同的目的吗？ 在我看来，这似乎更安全。

Answer 1

盐的价值在于它对于每个用户来说都是不同的。 当您重新创建哈希值以进行比较时，您还需要能够检索此非唯一值。

如果您存储用于每个密码的单个盐值，那么您首先会大大降低盐的价值。

Answer 2

盐的目的是要求每个密码重新生成彩虹表。 如果您使用单一盐，黑客/破解者只需重新生成彩虹表一次，他就拥有您的所有密码。 但如果你为每个用户生成一个随机的，他也必须为每个用户生成一个。 对于黑客来说，成本要高得多。 这就是为什么你可以以纯文本形式存储盐，只要有多个盐，黑客是否知道并不重要。

默默无闻的安全性并不好，微软已经告诉我们这一点。

Answer 3

...直到攻击者获得对 DLL 的访问权限。

Answer 4

除了其他答案之外，还值得注意的是，攻击者可以像计算密码一样计算出您的盐：给定一个已知的密码（他自己的），他可以对可能的盐进行暴力攻击。

Answer 5

我从盐中学到的教训是：分而治之（安全）