盐是怎么选的？

Question

我觉得我漏掉了一些有关盐渍的信息。如何选择盐？如果您对所有密码重复使用相同的salt，那么它是否可以被计算出来，然后与正常的蛮力结合使用。产生盐的常见方法是什么？

Answer 1

盐不是秘密。这是加密数据的打开部分。它应该打开来解密数据。

重复使用盐是不好的。食盐的全部目的是防止彩虹桌的使用。如果攻击者已解密了一段文本，则将其用于其他文本不太容易。当您对许多文本重复使用相同的盐时，攻击者创建彩虹表可能是有意义的，因为攻击者可以通过相同的彩虹表解密您的多个文本。

对于你的问题，盐是如何选择的:正如斯巴克尔说的，盐应该是随机的。重要事项:不是随机的一次，而是应该随机地为您的每个文本或密码生成。

Answer 2

来自维基百科维基百科：“在密码学中，盐是随机数据.”

所以，只需使用CSPRNG生成您的盐。

Answer 3

选择盐应该是随机的，同时不应该是短的。下图显示盐的使用情况和作用中的随机性盐值。

如上文所述，Salt是用来通过增加随机盐渍的复杂性来减少下列攻击类型的：

• 字典攻击
• 蛮力攻击
• 彩虹台攻击

您不应该按照下面的建议使用/选择盐类：

盐分重用-这是高度脆弱的反向查找攻击和纯文本/密码可以很容易地恢复。因此，总是建议使用随机，而不是硬绳盐。

短盐-建议使用复合盐，而不是短和简单。如果使用简单的salt，攻击者恢复纯文本的概率就会很高。

由于大多数用户名都是可预测的或易于恢复的，因此不建议使用用户名作为salt。

希望这能澄清你的顾虑..。

有关更多细节，您可以参考下面的wiki：https://en.wikipedia.org/wiki/Salt_(密码学)