全局salt与salt密码

Question

可能重复: 密码哈希加盐+胡椒还是盐够了？ 在一个用户上使用相同的盐分对多个散列是否有风险？

众所周知，所有密码散列都需要加盐，但经常会出现一种争论，即使用哪种盐析策略：

• 一个普通盐，在远离数据的应用程序中进行硬编码。
• 每个散列一个盐，存储在哈希旁边的数据库中，从不重用。

这两种方法如何与不同的攻击或泄漏进行比较？一个比另一个更安全吗？

Answer 1

这个网站上已经写了很多关于盐渍的文章。请去读一读，如果你有进一步的问题，请回来。别错过密码哈希加盐+胡椒还是盐够了？。

TL;DR:每个用户都应该接收他们自己的随机盐，存储在数据库中，旁边是哈希。您也可以选择包括第二个应用程序范围的盐类(“胡椒”)存储在其他地方，但它并不重要。