密码 +盐 +秘制酱料？有帮助，还是有点晦涩难懂？

Question

标准密码安全性涉及为每个用户生成随机盐，以某种方式将该盐与其密码组合并将它们散列在一起，然后将散列和盐存储在数据库中。

如果您不仅添加了 hash($salt . $password)，还添加了另一个密码短语（仅存储在源代码或服务器配置文件中），结果会怎样：

$secret_sauce = 'tehB%l1yG*@t$G2uFf'; // perhaps imported from config file
$hash = hash($salt . $secret_sauce . $password);

这会增加任何额外的好处吗？或者只是在顶部应用了一层薄薄的默默无闻的安全保护？

Answer 1

对于密码文件，只需在顶部添加一点模糊性即可。

但是，此方案称为“密钥哈希”，可用于对称（共享秘密）签名：如果您有这样的哈希和输入数据，那么您可以确定签名是由同时创建的人创建的知道额外的秘密。当然，与公钥签名不同，如果不知道密钥，则无法验证这一点。

Answer 2

我很难找到几年前读过的一篇论文，该论文表明通过部分计算哈希的部分可以轻松生成数千个哈希结果。 （例如，通过开始计算“foo”的哈希值，您可以更轻松地生成“foo1”、“foo2”、“foo3”、“foo4”等的哈希值，比单独生成每个哈希值便宜得多。 ）

我认为它会主张在密码之前和之后都加盐。

但请记住，如果攻击者可以读取密码数据库，他们也可能可以从您的二进制文件或配置文件中读取盐；这取决于你的设计。