使用 CreateUUID() 函数作为盐是个好主意吗？

Question

我正在使用 Coldfusion，我想为我的密码生成一个随机盐字段。我想知道 CreateUUID() 函数在这里是否有用。我发现很多例子使用单独的函数来创建盐字符串；但是当您可以使用 rand() 或 CreateUUID() 函数时为什么要这样做呢？我不知道。

这是一个矫枉过正还是一个好主意？或者我应该使用 rand() 或时间戳代替？

Answer 1

这不是一个好主意 - CreateUUID 保证唯一性，而不是随机性；如果您对 CreateUUID 进行统计分析，它很可能不会被认为是对于密码学而言足够随机的分布，因为它不是以这种方式明确设计的。

例如，CreateUUID 的前 n 字节是您的 MAC 地址 - 即对于每个盐总是相同的。通过这样做，您可以显着减少盐的熵量，从而使它们更容易裂解。如果可能的话，使用库来处理整个身份验证场景，如果不可能，请使用真正的 rand() 函数。