비밀번호의 소금 저장의 요지는 무엇입니까?

Question

Blowfish와 함께 해시에서 추출 할 수 있기 때문에 소금을 저장하는 것이 무엇입니까?

$hash = crypt($password, $salt); 

해시 우리는 점은 비록 소금 또는 해시 된 암호와 경우

substr($hash, 0, 28) 

또는

substr($hash, 0, 29) 

내가 모르는 사용할 수 있습니다 얻으려면.

Answer 1

소금 값은 "무지개 표"공격을 더 어렵게 만드는 데 사용됩니다. 무작위 소금이 없으면 암호는 항상 같은 해시를 생성하며, 해시로 가득 찬 암호 데이터베이스를 "획득"할 수 있다면 해시 등의 알려진 해시를 쉽게 확인할 수 있습니다. 가장 많이 사용 된 암호 top100. 소금으로는 물론 소금도해볼 수 있지만 각 소금에 대해 해시 함수를 호출해야하며 해쉬 함수가 무차별 공격을 어렵게하기 위해 "느리게"설계되어 있으므로 많은 시간이 필요합니다.