Salting：使用用户名是否合理？

Question

我正在讨论使用用户名作为对密码加盐的方法，而不是将随机字符串与名称一起存储。我的理由是盐的目的是防止彩虹表，那么是什么使得它实际上比其中的另一组数据更不安全呢？

例如，

hash( md5([电子邮件受保护]), p4ss\/\/0rD)

与

hash( md5(some_UUID_value), p4ss\/\/0rD)

是否有真正的原因我不能只坚持使用用户名并简化事物？我的网络搜索结果唯一的结果是关于盐应该如何像密码一样的争论，但结束时没有任何理由，我的印象是这只是为了防止类似的事情该隐能破解者可以在不超过一百万年的范围内与它对抗。考虑到现实的处理局限性，如果人们知道哈希值，但他们仍然不知道密码，并且他们已经进入超级计算机范围来暴力破解每个单独的哈希值，我认为这没什么大不了的。

有人可以在这里启发我吗？

Answer 1

当用户名更改时（如果可以更改），您会遇到问题。您无法更新哈希密码，因为您不存储未加盐、未哈希的密码。

Answer 2

我认为使用用户名作为盐值没有问题。

更安全的存储密码的方法是为每个记录使用不同的盐值。

如果您查看 asp.net 会员资格提供商的 aspnet_Membership 表，您会发现他们将密码、密码盐和用户名字段存储在几乎相同的记录中。因此，从这个角度来看，仅使用用户名作为盐值没有安全差异。

请注意，某些系统对所有密码使用单个盐值，并将其存储在配置文件中。这里安全性的唯一区别是，如果他们能够访问单个盐值，那么他们可以更轻松地构建彩虹表来一次破解所有密码......

但话又说回来，如果他们有权访问加密形式的密码，那么他们可能就可以访问存储在用户表中的盐值...这可能意味着他们在计算密码值时会遇到一些困难。

然而，归根结底，我相信几乎所有应用程序都在加密方面失败，因为它们只加密表面上最不重要的数据之一：密码。真正应该加密的几乎是其他一切。

毕竟，如果我可以访问您的数据库，为什么我会关心密码是否加密呢？我已经可以访问重要的事情了……

显然还有其他考虑因素在起作用，但归根结底，我不会在这个问题上太担心，因为与其他问题相比，这只是一个小问题。

Answer 3

如果您使用用户名作为密码，并且您的应用程序有很多实例，人们可能会为特定用户（例如“admin”或“system”）创建彩虹表，就像 Oracle 数据库的情况一样，或者使用整个通用名称列表（例如它们）为WPA（CowPatty）做的

你最好采取真正随机的盐，这并不困难，而且它不会回来困扰你。

Answer 4

对于创建 HTTP 摘要身份验证的工作组来说，该方法被认为足够安全，该身份验证使用字符串“用户名：领域：密码”的哈希进行操作。

我想你会很高兴看到这个决定是秘密的。如果有人窃取您的数据库和源代码来查看您实际上是如何实现散列的，那么他们当时登录以访问什么？显示他们已经窃取的数据库中的数据的网站？

在这种情况下，盐可以为您的用户带来一些安全优势。首先，如果窃贼有预先计算的值（彩虹表），他们就必须为每个用户重新计算这些值才能进行攻击；如果小偷想要的是单个用户的密码，那么这并不是一个大胜利。

其次，即使所有用户共享相同的密码，他们的哈希值也总是不同的，因此窃贼不会免费获得任何哈希冲突（破解一个用户获得 300 个密码）。

这两个好处有助于保护可能在多个站点使用相同密码的用户，即使窃贼碰巧获取了其他站点的数据库。

因此，虽然用于密码散列的盐最好保密（在您的情况下，用于盐的确切数据就是），但即使它受到损害，它仍然可以提供好处。

Answer 5

随机加盐可防止比较同一用户名的两个独立计算的密码哈希值。如果没有它，就可以测试一个人在一台机器上的密码是否与另一台机器上的密码匹配，或者密码是否与过去使用的密码匹配等等，而无需拥有实际的密码。即使密码可用，它也将极大地方便搜索上述标准（因为可以搜索计算出的哈希值，而不是为每个旧密码哈希值单独计算哈希值）。

至于这种预防是好事还是坏事，谁知道呢。

Answer 6

我知道这是一个老问题，但对于任何基于这个问题寻找解决方案的人来说。

如果您使用派生盐（而不是随机盐），则应使用 PBKDF2 等密钥派生函数来增强盐源。

因此，如果您的用户名是“theunhandledexception”，则将其通过 PBKDF2 进行 x 次迭代，以生成 32 位（或您需要的任何长度的盐）值。

使 x 伪随机（而不是像 1,000 这样的偶数）并将静态站点特定的 salt 传递给 PBKDF2，这样您的用户名 salt 就不可能与任何其他站点的用户名 salt 相匹配。