密码+Salt的一些考虑

@ 2013-05-30 09:53:00
标签:

    密码+Salt的基本思路是在对密码原文进行hash前先加上一些额外的字符。这样一来,即使有人从hash值反推出了一个“密码”,在使用这个密码进行系统认证时,由于会再次被+salt,从而不能通过系统认证。

    最简单的+salt的思路也许是:原文+salt。

    问题是,是否可能由于hash算法的碰撞性不是那么高,从hash值反推回来的结果是真正密码的可能性非常高。如果这样的话,通过几组不同的结果,则很有可能很容易分离出salt值,这样也就失去了+salt的意义。

    相对较好的思路是把salt“掺杂散乱”在密码原文中间,而不是简单地加在头或尾。

    TODO: 一些加salt的方法。

    标签:

      分享到:
      comments powered by Disqus

      22/23ms