- android - 多次调用 OnPrimaryClipChangedListener
- android - 无法更新 RecyclerView 中的 TextView 字段
- android.database.CursorIndexOutOfBoundsException : Index 0 requested, 光标大小为 0
- android - 使用 AppCompat 时,我们是否需要明确指定其 UI 组件(Spinner、EditText)颜色
我一直在 ruby 应用程序中创建加盐密码,我认为这是标准方式:
password_salt = BCrypt::Engine.generate_salt
password_hash = BCrypt::Engine.hash_secret(params[:pword], password_salt)
但是在检查测试用例时,看起来盐只是被添加到哈希密码之前:
现在,据我了解盐点,它应该在散列之前连接到密码上,以将密码推出任何预先计算的查找表、彩虹表等的大小范围。曾经包括。关键是,如果有人获得了您的用户数据库,他们仍然无法使用查找表破解密码。如果在散列之后将盐添加到密码上,并且黑客已经下载了用户表,则它不会采取任何措施来保护密码。黑客只需剪下前面的盐,取回原始散列,然后在散列上运行彩虹表,就好像它们从未加盐一样。
这是否像看起来那样严重?我的代码有问题吗?还是出于我需要阅读的原因,这是否按预期工作且安全? (请链接。)
最佳答案
1) 盐是验证所必需的,因此必须与散列密文一起存储。无论是数据库中的两个字段还是一个混在一起的字符串,都无关紧要。
2) 一种盐 = 一张彩虹 table 。当然,攻击者可以为您的盐生成一个新的彩虹表;但是,由于构建彩虹表的时间基本上等同于尝试彩虹表要覆盖的所有密码的时间,所以只要您不重复使用盐,它就不是弱点。
彩虹表的用例是它允许您计算它一次,然后快速测试多个密码。彩虹表通常涵盖一定长度的所有密码,或者至少有一些限制(例如,使用特定的字母表,或使用特定的词汇表)。假设您有一张彩虹表,其中包含最多 8 个字符的所有密码。因此,如果有人有密码“password”,彩虹表就会知道它的散列形式是什么(例如“WASSPORD”——使用大写字母表示密文,使用小写字母表示明文以提高示例的可读性),您可以在彩虹表,很快就看到密码是“password”。
但是,假设您有盐“花生”。密码变成“peanutspassword”,如果你随后加密它,假设你得到“WASSUPMYCRACKER”。 Ruby 会打印“peanutsWASSUPMYCRACKER”作为加盐哈希。在验证时,您将“peanutsWASSUPMYCRACKER”分成“peanuts”(盐)和“WASSUPMYCRACKER”(散列);将“peanuts”追加到用户输入的“password”后形成“peanutspassword”,并再次加密——你得到“WASSUPMYCRACKER”,这是一个匹配项,用户登录。但是,请注意“peanutspassword”更长超过8个字符,不会出现在最多8个字符的彩虹表中。
现在,您可以生成一个“peanuts”彩虹表,方法是使用与原始彩虹表相同的字典,在“peanuts”前面添加并对其进行加密,但它通常需要比暴力破解密码更长的时间(“peanuts"+"a"? "peanuts"+"aardvark"?...) 因为,至少在你进行暴力破解时,你会在找到正确的密码时停止。
但是,如果您知道某个应用程序总是使用“花生”作为它的盐,您可以制作一个“花生”彩虹表,该应用程序就完蛋了,它的所有者陷入了真正的困境。
tl;dr: Salt 可以公开;它只是不能重复使用。
编辑:您的印象似乎是 Ruby 只是将盐粘贴到未加盐明文的散列上。如果它这样做了,那么人们会期望对于相同的明文,结果的后端(密文)将是相同的,无论盐是多少。很容易看出它不是这样工作的:
3.times { puts BCrypt::Engine.hash_secret("password", BCrypt::Engine.generate_salt) }
# $2a$10$jxUToaac5UUzVRH9SnllKe52W1JMLu5tm0LwyrZ4x4e75O1FCn9Ea
# $2a$10$oBs3TyhgR/r12.cz2kdzh.O9WHVZifDPqTEg0.hGOMn7Befv.8hSy
# $2a$10$8rfQA5nzCZ74DwNrmhAhdOmoQOVhJnBfh0ikiOB0W7ZptwsLPGUwi
随着盐的变化,密文也会发生变化。因此,您不能“只是从前面剪掉盐,取回原始散列,然后在散列上运行彩虹表,就好像它们从未加盐一样。”
关于Ruby BCrypt 加盐/散列似乎……错了?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/56696785/
谁能帮我解决这个问题?我有一个 Tomcat 和简单的 JSF 应用程序:https://github.com/gooamoko/jsfbilling/ .当我在 Tomcat 上运行应用程序时,它运
我有两个这样的域类,第一个是 Manager : package com.mnm class Manager { String name; static hasMany = [ pro
当我运行以下代码时,打印输出似乎不正确。 void thread_Calc(int *pos) { printf("recieved %d\n", *pos); sig = -1; man
这个问题在这里已经有了答案: How to access a local variable from a different function using pointers? (10 个答案) 关闭
我编写了一个程序,其中列表构建器方法返回 IEnumerable of string,其中包括大量字符串(100 万个项目),我将其存储在 List of string 中,然后它将所有项目附加到 中
我正在尝试编写一个 IRC 类型的聊天客户端,它具有可以连接到服务器的客户端。我试图让它在本地 atm 上工作(使用 FIFOS 而不是套接字)。 我遇到了以下我似乎无法解决的问题: 接受新的客户端连
我的一个 cronjobs 每天发送一封电子邮件 35 6 * * * cd $EZPUBLISHROOT && $PHP runcronjobs.php -q 2>&1 我停止使用 cron sud
我使用 WPF 打印路径来处理在我们的应用程序中创建的大型图表。整个图表由视觉效果组成。 所谓的“DesignerPaginator”对图表进行分页(非常简单)。 从这一点来说,我做了以下三件事: -
我尝试在更新之前跟踪系统应用程序并使用: public static boolean isSystemApplication(Context ctx, IContent content) {
我在这里附上了一个查询分析结果,https://explain.depesz.com/s/x9BN 这是查询 EXPLAIN ANALYZE SELECT branche
我正在做一个 CXF(spring) 项目 (HUB)。部署后,我可以看到肥皂和休息服务列表,我通过两个地址打开它。一种是使用本地主机,第二种是使用我电脑的 ip。所以我得到了这些输出。 使用本地主机
这是一个 AnyHashable 不支持枚举转换的简单案例。 enum testEnum: String { case Test } let myObject: AnyHashable = t
我的主要目标是比较存储在数据库和 XLSX 文件中的数据。 为此,我按以下方式创建了两个列表: private class ProductList { public string produc
我从 CMake 3.6 更新到任何最新版本 (3.12.0-rc2),现在我的一个程序无法编译。 奇怪的是,错误消息显示了标准库本身中的 undefined symbol 。这是错误消息: Unde
我希望将我的自定义对话框动画化为从特定点出现,但我无法为对话框设置动画。 该对话框是一个基本的 RelativeLayout,设置为 extends Dialog 类中的布局。 正如这里的一些答案所建
我已经在这个论坛上调查过很多类似的问题,但似乎没有一个能解决我的问题。 我会在底部列出我在这个论坛上看到的一些问题页面,但让我先谈谈我对这个问题的看法。 我正在使用 codeigniter v 2.x
我正在尝试在 RHEL 7 上启动一个 docker-compose 项目作为 systemd 服务。这是我的 systemd 脚本 (/etc/systemd/system/wp.service):
这个问题已经有答案了: "Notice: Undefined variable", "Notice: Undefined index", "Warning: Undefined array key",
我正在尝试在 RHEL 7 上启动一个 docker-compose 项目作为 systemd 服务。这是我的 systemd 脚本 (/etc/systemd/system/wp.service):
此问题出现在my last question here之后。我想将每个按钮聚焦和失去焦点背景设置为主菜单(ContentPane 即 JPanel)下方的背景颜色,因此按钮看起来像选项卡。它在不同的环
我是一名优秀的程序员,十分优秀!