密码盐：前置与附加

Question

我刚刚查看了 Django 中密码哈希的实现，注意到 它会在前面加上盐，因此哈希值的创建方式类似于 sha1(salt + 密码)。

在我看来，盐有两个用途

1. 防止彩虹表查找

   好吧，前置/附加盐对于彩虹表来说并没有真正的区别。

2. 针对暴力/字典攻击进行强化

   这就是我的问题。如果有人想攻击被盗密码数据库中的单个密码，他需要尝试很多密码（例如字典单词或 [A-Za- z0-9] 排列）。

   假设我的密码是“abcdef”，盐是“salt”，攻击者尝试所有 [az]{6} 密码。

   使用前置盐，必须计算hash("salt")，存储哈希算法的状态，然后从该点继续进行每个排列。也就是说，完成所有排列将需要 26^6 次复制哈希算法的状态结构操作和 26^6 hash([az]{6}) 操作。由于复制哈希算法的状态非常快，因此盐几乎不会增加任何复杂性，无论它有多长。

   但是，如果附加了盐，攻击者必须为每个排列计算哈希（[az]{6} + salt 的排列），从而导致 26^10 次哈希运算。显然，附加盐会根据盐长度增加复杂性。

我不认为这是出于历史原因，因为 Django 相当新。那么前置盐有什么意义呢？

Answer 1

两者都不做，请使用标准的密钥派生函数，例如PBKDF2。永远不要推出自己的加密货币。这太容易出错了。 PBKDF2 使用多次迭代来防止暴力破解，这比简单排序有更大的改进。

在处理盐后预先计算哈希函数的内部状态的技巧可能并不容易实现，除非盐的长度对应于底层块密码的块长度。

Answer 2

如果在前面添加了盐，攻击者可以为盐创建哈希状态数据库（假设盐足够长以进行哈希步骤），然后运行字典攻击。

但如果附加了盐，攻击者可以为密码字典创建这样的数据库，并另外仅计算盐的哈希值。鉴于盐通常比密码短（例如 4 个字符的盐和 8 个字符的密码），攻击速度会更快。