password安全之動態鹽

標籤：style   http   color   使用   資料   art   

首先，我們看看什麼是鹽：http://zh.wikipedia.org/zh/%E7%9B%90_%28%E5%AF%86%E7%A0%81%E5%AD%A6%29

通常情況下，當欄位經過散列處理（如MD5），會產生一段散列值，而散列後的值通常是無法通過特定演算法得到原始欄位的。可是某些情況，比方一個大型的彩虹表，通過在表中搜尋該MD5值，非常有可能在極短的時間內找到該散列值相應的真實欄位內容。

加鹽後的散列值，能夠極大的減少因為使用者資料被盜而帶來的password泄漏風險，即使通過彩虹表尋找到了散列後的數值所相應的原始內容，可是因為經過了加鹽，插入的字串擾亂了真正的password，使得獲得真實password的機率大大減少。

可是非常多人沒意識到的是靜態鹽仍然不夠安全。因為靜態鹽要面臨兩種攻擊：

1，基於特定的靜態鹽，能夠產生特定的彩虹表.

2，對靜態鹽處理過的散列password，能夠按出現頻率進行排序，最常出現的散列password，相應的明文password必定還是那些111111、123456之類的。

因此，對於重要的帳號password，我們須要採用動態鹽來對password進行混淆。一個經常使用做法就是把帳號名進行MD5之後，作為動態鹽。則上述兩種攻擊將失效。

比方，username是wsq，相應的md5是4572381974328f9c作為動態鹽，password是123456，加上動態鹽之後為4572381974328f9c123456，再MD5是d16e970d6e5b95b9。則終於的計算結果是無法推測的（unguessable）