放松下心情,转一个“没知识真可怕——应用密码学的笑话之MD5+Salt不安全“
发布于 18天前 作者 lonso 374 次浏览 来自 分享
7 回复

学习了,随机盐是防止黑客从哈希值直接看出密码是什么。

业界共识现在是:密码存储使用 bcrypt,不要再使用 md5 或者 sha1 之类的。

贴一下我的日志 https://jysperm.me/technology/1476 结论,MD5 目前只是在「数据摘要」这个场景下不够安全

@alsotang 这个结论是怎么得出的?有相关文献吗?

@alsotang

bcrypt is an algorithm that uses Blowfish internally. It is not an encryption algorithm itself.

Blowfish 是对称加密算法,密码是可以被解密出来的,这对于密码系统其实是不合理的。而 hash 算法却没有这个问题。

从密码强度而言,只需要增加 hash 算法的强度,即可扩大密码空间,抵御彩虹表攻击。再辅以可变 salt,避免一次撞库攻击一批用户。实际是比 Blowfish 更加科学的。

我们现在就是md5,每个用户salt不一样,hash N次这样来的。增加攻击成本,当破解成本高于信息本身的价值,就可以认为加密是相对安全的了嘛。

回到顶部