“盐”的目的是什么？什么时候散列？

Question

好吧，我想了解使用盐的原因。

当用户注册时，我会为他/她生成一个独特的盐，并将其存储在数据库中。然后我使用 SHA1 对它和密码进行哈希处理。当他/她登录时，我使用 sha1($salt.$password) 重新哈希它。

但如果有人入侵我的数据库，他可以看到散列密码和盐。

这比不加盐的哈希密码更难破解吗？我不明白……

对不起，如果我愚蠢的话……

Answer 1

如果您不使用盐，那么攻击者甚至可以在侵入您的服务器之前离线预先计算密码<->哈希数据库。添加盐会大大增加数据库的大小，从而使执行此类攻击变得更加困难。

此外，一旦他们闯入，他们就可以猜测常用的密码，对其进行哈希处理，然后检查数据库中的所有密码是否匹配。每个用户使用不同的盐，他们一次只能攻击一个密码。

维基百科上有一篇关于密码学中的盐的文章。

Answer 2

使用盐的另一个目的是确保具有相同密码的两个用户最终不会在用户表中具有相同的哈希值（假设他们的盐不同）。但是，盐和密码的组合最终可能会导致相同的“字符串”或哈希，并且哈希将完全相同，因此请确保使用盐和密码的组合，其中两个不同的组合不会导致相同的哈希值。

Answer 3

如果攻击者创建明文密码的哈希值巨型表，则使用盐可以防止他使用同一张表破解多个密码。攻击者必须为每种盐生成一个单独的表。请注意，为了使其真正正常工作，您的盐应该相当长。否则，攻击者的预先计算表很可能包含盐+密码哈希值。