对多个字段使用相同的盐

Question

我有一排连续的字段正在散列和加盐。每行的盐都不同。我决定对每行中的几个字段进行哈希/加盐。

与为每个字段生成新的盐相比，对同一行中的这些新字段使用相同的盐是否会使数据更容易受到彩虹攻击？我的逻辑是，同一行中只有几个字段会使用相同的盐，这将使键/盐管理变得更加容易。

Answer 1

不，如果有人有一张足够大的彩虹桌可以打破你的盐，那么你使用太小的盐就会搞砸。添加到盐中的每个字节都会使彩虹表呈指数级增长。在哈希中添加盐不会使预先计算的攻击变得不可能，只会变得更加困难。

重复使用盐会使您的系统更容易受到攻击。攻击者可以创建一个帐户，然后使用 SQL 注入从数据库中提取他的加盐哈希。然后他可以使用 John The Ripper 暴力破解盐（因为他知道自己的密码）。如果盐存储在数据库中，那么他可以使用 SQL 注入提取盐和哈希值，并与 John 一起破解未知密码的哈希值。如果密码是字典单词，则只需不到一个小时即可破解。

Answer 2

是的，但是数据对于使用多种盐真的那么重要吗？如果每行使用一种盐，这应该足够了。有关更多与盐相关的信息，请参阅本文：http://php-security.org/2010/05/26/mops-submission-10-how-to-manage-a-php-applications-users-and -密码/