加盐密码 - 有比使用时间戳更好的选择吗？

Question

我目前正在构建几个 ASP.NET MVC 2 站点，并且想知道我可以选择哪些选项来对密码进行加盐。在我的 PHP 工作中，我通常只获取用户注册时的时间戳，然后将其附加到密码字符串的末尾，然后使用 SHA1 对整个内容进行哈希处理。我的直觉是这种方法可能还不够。

无论如何，我对 ASP.NET 的用户管理还很陌生，因此我认为从一开始就采用最佳实践最符合我的利益。我知道 ASP.NET Web 表单具有可用的内置用户管理，但不确定 MVC。

Answer 1

SALT 的唯一目的是防止彩虹攻击，即多个用户的密码具有相同的哈希值，因此成功反转一个密码意味着您也知道它是具有相同哈希值的其他所有人的密码。即使是个位数的盐也可以防止这种情况，因为具有相同密码的两个用户如果具有不同的盐，将具有不同的哈希值。

只要盐是不会改变的，并且对于每个用户来说都是不同的，任何值都可以很好地工作。他们的注册时间戳，只要您不更新该字段（这将使他们的密码哈希无效并阻止他们登录）是一个不错的选择。