对不起,如果这是一个愚蠢的问题,我只想知道:bcrypt 中的盐有什么意义?我的意思是,如果您有以下代码用于从密码创建哈希:
function generateSalt() {
$salt = '$2a$13$';
$salt = $salt . '1111111111111111111111';
return $salt;
}
function generateHash($salt, $password) {
$hash = crypt($password, $salt);
return $hash;
}
$salt = generateSalt();
$providedPassword = generateHash($salt, rand(3,29));
echo $providedPassword;
上面的输出例如:
$2a$13$11111111111111111111uDdpsIcwCVOwEyNueskskXkniY5206fW
$2a$13$111111111111111111111udcvrNt9quPukFRl8./jXRzDGfE9lw0W
所以你可以清楚地看到salt的结束位置,如果有人得到了数据库,salt就没有意义,因为他们只能删除salt部分并只搜索散列密码。那么,我使用 bcrypt 错了吗? (静态盐只是为了显示它出现在我的哈希中的位置),或者有什么原因吗?
最佳答案
salt 背后的想法是,即使两个输入相同,只要每次使用不同的盐,哈希值也不会相同。
例如,许多用户选择相同的密码。如果您只存储密码的哈希值,数据库将包含许多相同的哈希值——这样如果攻击者只找到一次密码,他就可以轻松地将它用于所有这些用户。但是,如果每个用户的密码使用不同的盐值进行散列,攻击者将不得不破解存储在存储中的每个散列。
我不确定您正在使用的代码是什么(crypt
函数是什么?),但是如果它将盐值预先添加到实际散列 就可以了,只要散列本身也是使用盐 计算的。无论如何,您将需要存储原始盐以验证新输入(密码)是否与存储的哈希匹配。但是,只要您在每次哈希使用之间更改盐值,就没有简单的方法来收集有关原始输入的信息。
关于php - bcrypt 中的盐点,我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/13037271/