最近看到一篇文章,链接如下https://www.freebuf.com/articles/web/28527.html。
读完后讨论区中的一个问题也引起我的思考,再讲这个问题前先简短介绍一下hash和salt hash的区别。
这里的hash指的是加密hash函数,要复杂于数据结构课中的hash函数,常用的加密hash函数有SHA256, SHA512, RipeMD, WHIRLPOOL等。salt hash中的salt是用密码学上可靠安全的伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator (CSPRNG))生成 而来,进行密码加密时是将密码和salt拼在一起后再用加密函数进行加密,在修改密码时,会随机生成新的salt,将加密后的密码和salt分别作为字段存在数据库,登录验证时将输入的密码和salt用同样方式拼接,加密后与数据库中的密码进行比较;而一般的hash只是将密码用加密函数进行加密,将加密后的密码存于数据库。
接下来我们思考这个问题:如果数据库都被黑客攻破了,那salt hash还有什么用呢?
刚看到这个问题时,我也觉得似乎此时的salt hash和hash没什么区别,但hash是一个不可逆的过程,以我个人愚见,salt hash更加安全的原因可能在于我们是如何进行密码与salt的拼接的,我们拼接密码和salt的方式不同得到加密后的密码也就不同,所以即使数据库被攻破,知道对应的salt是什么,只要salt长度足够,因为密码和salt拼接的组合方式有很多,想反推出密码会更难,因此salt hash要比hash更安全。欢迎大家留言讨论~