在数据库中存储散列的密码[关闭]

盐 . 在散列之前预先准备一些你编的字符串。在检查密码时也要预先设置密码。这是一个应用程序范围的字符串。这使得通过彩虹表向上看要困难得多。

所以如果你的盐是“kdi37s!!”将此保存到数据库中 md5(kdi37s!!P@$$w3rd)

使用一点 salt 用sha1做一个散列。

退房 PBKDF2 ,它是 真是太好了。

如果你使用这样的算法 BCrypt 和盐(使用 blowfish brute force 攻击。当然,如果用户的密码是 a

如果攻击者获得数据库的副本,一秒钟只能尝试10个左右的密码,这意味着获得任何密码都需要很长时间。如果你担心摩尔定律,并希望将来证明这一点,你可以指定一个成本,使算法更慢。

纯SHA/X或MD5密码散列的问题是,通过设计,这些算法非常快,这使得它对暴力攻击非常敏感。当然,如果你不给你的杂烩加盐的话,还有很多 rainbow tables 这使得破解数据库中的所有密码变得微不足道。