全局盐与每个密码的盐

信息安全 哈希
2021-08-14 18:22:26

可能重复:
密码散列添加盐+胡椒还是盐足够?
对用户的多个哈希使用相同的盐有什么风险吗?

众所周知,所有密码哈希都需要加盐,但经常会出现使用哪种加盐策略的争论:

  • 一种普通盐,在远离数据的应用程序中硬编码
  • 每个哈希一个盐,存储在哈希旁边的数据库中,从不重复使用

这两种方法如何与不同的攻击或泄漏进行比较?一个比另一个更安全吗?

1个回答

这个网站上已经写了很多关于盐渍的文章。请阅读该内容,如果您还有其他问题,请再回来。不要错过Password Hashing 加盐 + 胡椒粉还是盐就够了?.

TL;DR:每个用户都应该收到他们自己的随机盐,存储在数据库中,在哈希旁边。您还可以选择包含存储在其他地方的第二个应用程序范围的盐(“胡椒”),但这并不重要。

其它你可能感兴趣的问题
上一篇如何确定网站是否以某种方式防止对我的密码进行暴力攻击?(假设我无法创建匿名帐户) 下一篇使用密码/明文加密盐值是直接散列的可行替代方案吗?