답변
공격자가 이전에 생성 한 무지개 표를 사용할 수 없기 때문에 공개적으로 볼 수있는 소금조차도 보안을 강화합니다. 그들은 자신의 것을 만들어야합니다. 이것은 매우 오랜 시간이 걸립니다.
그러면 소금이 얼마나 오래 걸릴까요? – Atomble
소금이 매우 짧으면 (예 : 1 바이트 만) 공격자가 모든 가능한 무지개 테이블을 생성 할 수 있습니다. 그러나 소금이 길어질수록 (아마도 4 바이트 이상), 지수 적 성장 때문에 더 이상 중요한 염이 될 수는 없습니다. 그러나 긴 소금 (아마 16, 32 또는 64 바이트)을 사용하면 비용이 많이 들지 않고 일부 공격 (아직 발견되지 않은 공격)에 대해 보안을 얻을 수 있으므로 상당히 긴 소금을 선호합니다. –
소금이 알려진 경우 길이는 중요하지 않습니다. 공격자가 소금을 알고 있기 때문에 무지개 표를 하나만 생성하면됩니다. 소금이 알려지지 않았다면 적어도 몇 바이트 길이의 소금을 만드십시오. 다니엘이 말했듯이, 소금을 사용하는 데에는 거의 아무런 비용이 들지 않습니다. – Marius
허용되는 입력을 조회하는 데 미리 계산 된 해시 테이블 또는 무지개 테이블을 사용하지 못하게합니다. 다음 공격자가 정확히 해시를 생성하는 데 사용되는 어떤 기능을 모르기 때문에, 숨겨진 소금을 갖는 보안을 증가 시킨다는 것을 명심 http://en.wikipedia.org/wiki/Rainbow_table
:
은 한 번보세요. 그러나 암호 해싱의 주요 이점은 암호를 얻는 것입니다. 일반 암호 목록보다 해시 목록을 사용하는 것이 훨씬 더 많은 작업입니다. 누군가 당신의 해시를 가지고 있다면, 그들은 소금을 가지고있을 가능성이 높습니다. 생각을위한 음식.비밀 번호는 비밀 번호에 따라 미리 계산 된 해시로 무지개 공격을 방지합니다. 암호마다 고유 한 소금을 사용하려면 공격자가 각 시도에 대한 해시 암호를 계산해야합니다.
공격 목표를 달성하기 위해 공격자의 속도를 늦추십시오.
- 1. 소금, 암호 및 보안
- 2. jQuery 플러그인 : 공개적으로 액세스 할 수있는 기능?
- 3. md5와 소금
- 4. 명명 된 파이프 보안 DACL을 볼 수있는 도구가 있습니까?
- 5. PHP에서 소금 생성하기
- 6. 사람들이 captcha를 공개적으로 게시하는 이유는 무엇입니까? 보안 문자 : somerandomword
- 7. CSS가 "볼 수있는 정도"
- 8. 소금 값을 문자열로 표시
- 9. 소금 및 해시 생성 질문
- 10. 플래시 또는 Java에서 소금 코드를 숨기려면 어떻게합니까?
- 11. Joomla 소금 향상된 암호
- 12. PHP와 MySQL에서 소금 내기
- 13. hmac 키와 소금 길이
- 14. 암호 해싱을위한 이중 소금?
- 15. MD5 체크섬 (소금)
- 16. 인증 단계에서 소금 노출
- 17. 최적의 암호 소금 장
- 18. 공개적으로 액세스 할 수있는 폴더로 KnowledgeTree를 설치하려면 어떻게해야합니까?
- 19. 공개적으로 액세스 할 수있는 레일스 개발 서버 시작하기
- 20. 안드로이드 : 형제 볼 수있는 권한
- 21. 컨트롤러에서 볼 수있는 피드백 제공
- 22. 나는 단지 볼 수있는 DOMDocument
- 23. 쿠키 폴더를 볼 수있는 방법
- 24. invisibles를 볼 수있는 텍스트 편집기?
- 25. WebApp 암호 관리 - 해싱, 소금 내기 등
- 26. 여러 필드에 같은 소금 사용
- 27. 데이터베이스 대신 코드에 소금 저장
- 28. C# 해시 암호는 소금 질문
- 29. ASP.NET 해시 PW의 + 소금 혼란
- 30. 브라우저 공급 업체가 충돌 통계를 공개적으로 제공합니까?
이 질문에 바다를주십시오 : http://stackoverflow.com/questions/1219899/where-do-you-store-your-salt-strings –
"바다"소금에 관한 질문? 프로이드 디어. –