彩虹桌：如何防御它们？

Question

我最近获得了 Windows 版 l0pht-CD 并在我的 PC 上试用了它，它可以工作！！

2600hertz.wordpress。 com/2009/12/22/100-windows-xp-vista-7-密码-恢复

• 我也读过 kestas.kuliukas.com/RainbowTables/

我正在设计一个存储 pwd 的“登录模拟器” -s 以类似的方式。当前的实现很容易受到上述攻击。请任何人都可以说明（用尽可能简单的术语）如何加强针对这种彩虹表攻击。

我的目标：构建尽可能安全的“登录模拟器”。（阅读黑客竞赛；-））

谢谢。

Answer 1

由于彩虹表是一系列针对各种密码预先计算的哈希链，因此可以通过 添加密码的盐。由于哈希函数通常会消除输入和输出之间的大部分局部对应关系（即，输入中的微小变化会产生输出中看似不相关的大变化），因此即使是少量的盐也会非常有效。

最重要的是，盐不需要保密就能发挥作用。需要为所有可能的密码-盐组合重新计算彩虹表。

Answer 2

您应该使用 bcrypt，它是由专业密码学家设计的做你正在寻找的事情。

一般来说，您永远不应该发明自己的加密/散列方案。
密码学非常复杂，您应该坚持使用已被证明有效的方法。

但是，您问题的基本答案是添加随机的每用户盐，并切换到较慢的哈希值。