【发布时间】:2015-12-17 04:50:03
【问题描述】:
如果我使用超过 1 个盐字符串,例如 3 或 4,我的密码会更安全吗?
【问题讨论】:
-
稍微,不是真的,也许。这是关于你实现盐的方式,而不是盐本身。
标签: security cryptography salt
【发布时间】:2015-12-17 04:50:03
【问题描述】:
重要的不是盐的数量,而是盐的累积大小。如果你有至少 128 位随机生成的盐,你应该没问题。您只需要适当大小的盐,但这还不是全部。
例如,如果您使用的是 PBKDF2,则应使用大量迭代,以使密码破解者很难暴力破解密码。如今,1,000,000 次迭代似乎是合理的,或者您可以对其进行校准,因此一个密码哈希大约需要一秒钟。如果你使用 scrypt,你应该以同样的方式调整成本因素。
不要通过单次调用 SHA-256 等哈希函数来哈希密码。
【讨论】:
-
盐不必是随机的,而是全局唯一的。然而,随机性通常是实现高概率全局唯一性的关键。