SHA3输出是否比氪星安全一百万倍？

Question

我使用Scrypt来获取输入的散列，并且我没有使用SHA3，因为我发现可以使用字典攻击来查找SHA3输出。后来，有人告诉我不要使用氪t，因为它是不必要的，只需散列一百万次SHA3的输出，因为它会更简单，但也更安全。

这是真的吗？还是说使用氪星仍然是个不错的选择？

Answer 1

不，只要加一百万次密码就不会比氪星更安全了。

至少有两件事是缺少的：

• 使用salt，当用户使用相同的密码并阻止彩虹表时，它会区分散列；
• 则是使用salt的内存使用，这会使使用专用硬件破解密码变得更加困难。

您试图重新实现的是密码哈希或PBKDF (基于密码的密钥派生函数，相同的是派生密钥而不是散列)。不久前有一场密码哈希竞赛，Argon2赢了。巴隆散列是一组加密人员创建的更晚的密码哈希。

我不知道你的哪些同事或熟人认为他们能做得更好，但我认为他们应该了解邓宁-克鲁格效应。