对已经“浓”的盐进行腌制的任何价值。密码？

Question

将密码加盐以获得强大的、唯一的（用户未用于其他应用程序的）密码有什么好处吗？

加盐（据我所知）可以防止使用字典或常见密码生成的彩虹表。它还可以防止攻击者注意到在另一个应用程序中具有相同哈希值的用户。

鉴于强密码（可能）不会出现在生成的彩虹表上，并且聪明的用户将为他想要保护的每个应用程序使用唯一的密码，加盐是否可以保护已经“聪明”的用户？

---

这是理论上的。我无意停止加盐。

---

本质上，盐不只是成为密码的一部分吗？它恰好是由网守而不是用户提供的。

Answer 1

如果您可以保证所有用户永远不会重复使用密码，并且他们的密码都不会采用预先计算冲突哈希值在计算上可行的形式，那么盐确实没有什么额外的好处。

然而，盐的额外成本也很少；然而这些前提确实很难保证，而且如果错误的话，代价也很高。保留盐。

Answer 2

除了彩虹表之外，还有暴力破解工具来解析哈希。这不会阻止解析未加盐的哈希值。密码强度越高，所需时间就越长。加盐肯定仍然有意义。

Answer 3

这感觉就像您想要做出一个假设，然后将您的安全性建立在该假设之上。当你的假设因某种原因变得糟糕时，你的安全就会变得糟糕。

那么您的假设（强密码不需要加盐）如何变得无效？

1）随着时间的推移，会生成更大、更全面的彩虹表。如果由您的用户选择一个强密码，我会担心这一点。他们可能认为他们做得很好，而您和您的安全检查可能也认为他们做得很好，但后来发现，通过将几个单词和数字串在一起，他们创建密码的思维过程很容易被复制。

2) 如果用户无法选择他们的密码，那么您的强密码生成过程可能会由于错误或其他原因而变得不如您想要的那么强。

3) 您的用户可能懒得想出站点唯一/强密码！这无疑是最重要的问题。您真的想生成一个只有密码专家才能使用的系统吗？ :)

Answer 4

彩虹表绝对不限于字典密码等。大多数倾向于包含每个字符组合，直到达到某个最大长度 - 毕竟，这是一次性的生成成本。您的用户是否都使用 12 个以上字符的密码？不太可能。