我正在尝试按照以下步骤存储密码:
- 散列密码,
- 再次将哈希密码的最后四个字符添加到哈希密码
- 在步骤 2 的结果中添加盐
- 对步骤 3 的结果进行哈希处理
黑客真的可以通过什么方法破解它吗?
黑客真的可以通过什么方法破解它吗?
定义黑客?蛮力方法将始终适用于访问您系统的人。如果某人的密码为 1234,则加盐和哈希不会使该密码更强。但是,如果您担心从散列值中反转密码并以明文形式存储PW(您应该并且似乎是您问题的起源(,那么是的,您可以使用盐和哈希。
双重散列与加盐相结合是否是一种有效的密码存储 技术?
您使用的哈希函数在这里很重要。首先,您需要一个抗冲突的值,以确保两个不同的值没有具有相同哈希的概率很高。您没有说明您使用的功能(MD5、SHA1、SHA256 等(
这里的第 2 步并不是真正需要的,但肯定会增加复杂性。步骤 4 也是如此。我倾向于更复杂的功能,如 SHA2 或 SHA3,而不是重新散列以加快速度。
只要攻击者不知道你的发明,这就是">默默无闻的安全性",一旦知道算法,它几乎和普通的盐渍SHA-*一样容易暴力破解。问题是,人们可以使用普通硬件和破解工具每秒尝试大约 3 Giga SHA-256 哈希,甚至允许一些开箱即用的双哈希模式。
你需要的是一个密码哈希函数,如BCrypt,SCrypt,PBKDF2或Argon2,它们有一个成本因素来控制单个计算的必要时间。此外,您还可以放心地将盐包含在生成的哈希字符串中,因此您不必单独创建和存储盐。