加盐,一般用于存储密码的场景。
一般数据库的信息泄露出去了。那代码文本其实也暴露了,静态盐就被第三方发现了。
那么第三方就可以md5(暴破密码值+静态盐),由于静态盐是固定的,那用一个暴破密码值就可以来对比所有用户的密码值是否为这个暴破密码值,这样第三方破解的效率就很高。
而如果使用了bcrypt动态盐,bcrypt算法有个复杂的运算过程。是要比md5复杂无数倍的。设置saltRounds越高,就越复杂,执行的时间就越久,暴破密码值和暴破动态盐,同时要暴破两个,成本大大提高至无法破解的程度了。
参考
Bcrypt 动态盐对比静态盐的优点
最新推荐文章于 2024-01-03 14:59:53 发布