关于密码盐值的存放地点

周星星 发布于 2012/12/20 09:19
阅读 1K+
收藏 0

盐值一般存放在哪里呢?

不应该放在用户表里吧,否则用户表信息泄露的话,盐值岂不是形同虚设?

或者盐值并不是防用户表信息泄露的,只是纯防密码 hash泄密的?

加载中
0
CreturnHD
CreturnHD
随机一个比较长达salt  密码 md5(md5(password)+salt) 放一张表里。没啥问题。salt长度大于15。基本不用担心别人爆破
1
华兹格
华兹格
拿到加密后的数据, 一般人是没有心情在多研究的。。。所以把salt定义在表中是可行的---对一般网站而言
Mr-CoolB
Mr-CoolB
再来麻烦一点 可以根据密码长度 甚至用户的id 去选择不同的密码和盐的混合方式 大大增加暴力破解的成本
0
Photon
Photon
salt可以跟password一起存放用户表,泄露也没关系,关键是 passwordsalt一起生成的密钥很难破解
0
周星星
周星星

嗯,基本上是起个加强“源”的复杂度的作用,防反查是吧

不过如果泄露了,还是可以hash(猜测密码+盐值)==hash值,或穷举或字典,原6位的密码还是可以很快就解出来吧

0
整俩硬菜
整俩硬菜
我的密码和盐在同一张表中,不用担心,因为密码是加盐后的值
0
小苏打
小苏打
弄个20多位随机字符做盐值,再加上把密码简单替换,加盐, sha256或 sha512哈希足够强了。
0
qycms_cn
qycms_cn
,我一般做小站,都是明码。最多加个md5!!
0
燃灯
燃灯
密文都拿到了,为嘛加密算法拿不到。
0
周星星
周星星
楼下的可以接着讨论  md5(md5(password)+salt)和 md5(password+salt)的差别
返回顶部
顶部