加盐密码

Question

我确实需要一些关于如何使用随机盐来防止彩虹表攻击的澄清。它只是不适合我。

假设有一个愚蠢的应用程序，要求密码恰好为五个字符或更少，并且使用九个字符的随机盐对这些密码进行加盐。如果我有一个彩虹表，其中预先计算了 14 个或更少字符的所有字符组合的哈希值，那么随机盐如何提供额外的安全性？在这种情况下，随机盐+密码组合的哈希值不会。出现在彩虹表中吗？

我读过很多地方，使用盐会迫使破解器生成一个全新的彩虹表；同样，随机的每个密码盐将需要每个盐有一个新的彩虹表。为什么？

Answer 1

如果有人真的有一个包含所有可能的字符组合的哈希值的彩虹表，那么不，加盐没有任何帮助。但即使假设仅 Az、az、0-9 为有效字符，这也是 62¹⁴ = 1.2x10< support>25 14 个字符的密码。因此需要 1700 亿 PB 的存储空间。

鉴于这是不可行的，攻击者必须拥有一个小得多的表，仅包含最可能的字符串（例如，字典中的所有单词、与数字混合的单词等）。如果你加了盐，那么这个表就没用了。如果盐是固定的（并且已知的），那么攻击者可以重新计算一个新表。但如果每个密码都有不同的盐，那么这也不起作用。

Answer 2

例如，通过对字典中的所有单词创建哈希来查看密码是一种更快但在某种程度上有效的方法。尝试破解密码的人知道他们在寻找什么，并且由于计算速度有限，他们将搜索范围缩小到经常使用的密码。通过使用盐，这些经常使用的单词将永远不会真正用作密码。