先用md5，再用sha1，这样密码会安全一点吗？ 第1页

文中关于彩虹表的描述有误，评论里比我讲得更准确：

Lu Jerry1 分钟前
关于彩虹表的描述是错误的，这是暴力穷举表，建议答主修改答案。原文“这彩虹表大概多大呢? 答案是, 10TB 的硬盘需要……”修改成“10TB 的硬盘需要一个”。

但凡看了wikipedia, 都不会弄出来这样的问题. 请用 bcrypt/Argon2的较新版本/Scrypt.

我接下来的回答主要针对有些人不明白为什么salt要足够长.

好多人不懂为啥要增加salt的长度, 尤其是 @Ivony 评论底下的.

(建议你们还是直接用相应语言的bcrypt官方demo吧.... Go的bcrypt库十分友好, 知道你不会加盐, 加盐的步骤直接在内部帮你包装好了...【手动狗头】)

我们举个理论模型, 现在用户密码是4位的大小写数字字母符号组合(26大写, 26小写, 10数字, 18符号, 总计80个), 加密方式SHA1(8 bytes), 那么彩虹表有多大呢? 是80^4 x 8bytes = 312.5MiB. SD卡都能装得下.

这时如果我们给用户密码再来个4位的跟密码一样空间的salt, 那么需要的彩虹表会是多大呢? 80^4 x 80^4 x 8bytes = 11.92 EiB 这彩虹表大概多大呢? 答案是, 10TB 的硬盘需要 1300 多块才能装得下, 假设一个 2U 机器装 12 块硬盘, 这需要 6 个机柜(42U计算).

有同学会说了, 那我让用户直接来一个长密码, 16位! 这需要 2.25 × 10^31 byte! 总没问题了吧? 你觉得用户会记得住一个长达16位的密码吗? 他肯定会用手机号/生日随便再来点什么对吧. 那对应的彩虹表也会相当的小. (用户密码熵不可置信问题)

那么有了salt就可以了吗? 不可以, salt也要足够长/足够复杂. 这样才能达到增加 hash target 的信息量(也就是熵)的目的. 这样才会让彩虹表的制作足够难.

设想一个极端场景, 数据库被"拖库"了, 不但hash结果, 甚至salt都已经是已知的了, 源代码也被泄露了, 散列方法无论是 bcrypt 还是 Argon2 还是 Scrypt 人家都知道了, 甚至你的库进行着定期的rehash, 人家连过去的版本也搞到了(可能进行特征/侧信道攻击), 我们该如何保护用户的密码原文?

那就只有salt的熵了(期望用户密码拥有足够的熵不靠谱). 而提升salt的长度可以有效提升存储熵的空间. 这就是 @Ivony 回答论述的主要内容.

所以正确的做法是, 要求用户的密码有足够的熵(复杂度检测, 不通过让他换密码). 以及salt也要有足够的熵. 然后请用相应语言的密码学库里面的散列方法. 或者干脆, 用脑子记住用bcrypt.

试想一下 cracker 去 StackOverflow 问: "各位大佬, 求一个1024bit长度的彩虹表", 会不会被人笑爆然后问, 怎么? 你捡到外星U盘还是外星电脑了? :)

大师 Bruce Schneier 有句话, 被称作 Schneier's Law:

"Anyone, from the most clueless amateur to the best cryptographer, can create an algorithm that he himself can’t break."

人家大师就是大师, 不会直接折了你面子, 但其实意思就是, 别自己发明加密算法.

- 真正安全的算法是久经社区考验的, bcrypt已经22年了(1999-2021), Scrypt也12年了(2009-2021).

- 而且是要社区流行的. 光自己看的懂没意义, 别人也能用才有意义, 才能成为标准.

Schneier 对此又说了:

"There are two kinds of cryptography in this world: cryptography that will stop your kid sister from reading your files, and cryptography that will stop major governments from reading your files."

(世界上有两种密码学: 一种是阻止你妹妹阅读你的文件的密码学, 另一种是阻止强大的政府阅读你文件的密码学.)

最后.

建议多读书, 书上写的很清楚:

"If the salt is big enough, it essentially makes dictionary attacks infeasible."

Secure Programming Cookbook for C and C++

延伸阅读, 现在已经不太建议用PBKDF2了(因为有FPGA/ASIC), 应该转向其他的 GPU/内存/ASIC 抗性更强的散列方法:

https:// medium.com/analytics-vi dhya/password-hashing-pbkdf2-scrypt-bcrypt-and-argon2-e25aaf41598e

没有意义，早就有md5+sha1的彩虹表了。

至于说加盐对抗彩虹表的人，也绝大多数不明白这里面的原理和逻辑。

加盐的确是对抗彩虹表，但是到底是怎么对抗的，其实很多人仍然是一知半解。要搞清楚这一点，就要搞清楚彩虹表的原理。

彩虹表很简单，就是预先计算出所有可能密码的哈希值，然后破解的时候查表好了。

彩虹表的方式理论上无法防御（这与加密算法不同），只要是有限长度的密码，就可以被彩虹表攻击。并且彩虹表可以复用，所以计算单次密码攻防成本也是扯淡，随着时间的推移，彩虹表只会增长不会收缩。

所以对抗彩虹表只有一个方法，这也是绝大多数人压根儿没有弄明白的事情，彩虹表最大的敌人是密码的可能性，更进一步的如果考虑到彩虹表的无限增长的问题，所以彩虹表的唯一防御手段是增加密码长度！

所以加盐的本质目的是：增加密码长度。

密码长度的增加，破解该密码的彩虹表的大小需要呈指数增长，这才是防御彩虹表的根本原因。

所以加盐是必须的，但是你加的盐太短了，把你的盐当作密码的一部分去查表就完了……

其实说白了吧，如果你只是要防御彩虹表，仅仅针对彩虹表防御，你只需要把你的密码拉到特别长，彩虹表直接失效，有没有盐都失效了……

更进一步的，如果你的密码长度足够长，长到比哈希值的长度还要多出不少。这时候即便别人找到了一个碰撞，那大概率也不是你的密码了，你密码的安全可以得到更彻底的保护……

最后再补充一点好了，彩虹表破解的是你的密码，他的依据是大部分人在不同的网站会使用同一个密码，所以得到你的密码，就能入侵别的网站。对于已经侵入后台拿到你密码哈希值的黑客来说，再去伪造你的身份已经没啥意义了，因为他既然都已经侵入了网站的后台，在这个网站想干点儿啥还需要你那密码么？