密码 + 盐 + SecretSauce？有帮助，还是有点晦涩？

Question

标准密码安全性涉及为每个用户生成一个随机盐，以某种方式将该盐与他们的密码组合并将它们散列在一起，然后将散列和盐存储在数据库中。

如果您不仅添加了hash($salt . $password)，还添加了另一个密码短语，该密码仅存储在您的源代码或服务器配置文件中：

$secret_sauce = 'tehB%l1yG*@t$G2uFf'; // perhaps imported from config file
$hash = hash($salt . $secret_sauce . $password);

这是否增加了任何额外的好处，或者它只是通过应用在顶部的默默无闻的薄薄的安全层？

Answer 1

对于密码文件，它只是在顶部添加了一点晦涩。

但是，此方案称为“密钥哈希”，可用于对称（共享秘密）签名：如果您有这样的哈希和输入数据，那么您可以确定签名是由一个也知道额外秘密的人。当然，与公钥签名不同的是，如果不知道密钥，您就无法验证这一点。

Answer 2

我无法找到几年前阅读的那篇论文，该论文表明通过部分计算散列部分很容易生成数千个散列结果。 （例如，通过开始计算“foo”的哈希值，您可以更轻松地为“foo1”、“foo2”、“foo3”、“foo4”等生成哈希值，这比单独生成每个哈希值要便宜得多。 )

我认为它会争论在密码前后加盐。

但请记住，如果攻击者可以读取密码数据库，他们也可能会从您的二进制文件或配置文件中读取盐值；这取决于您的设计。