用于密碼哈希的非隨機(jī)鹽我最近從這個(gè)問(wèn)題中了解到，在下面的整個(gè)討論中，我（我確信其他人也這樣做）有點(diǎn)令人困惑：我一直稱(chēng)之為彩虹表，實(shí)際上稱(chēng)為哈希表。彩虹桌是更復(fù)雜的生物，實(shí)際上是Hellman Hash Chains的變種。雖然我認(rèn)為答案仍然是相同的（因?yàn)樗粴w結(jié)為密碼分析），但有些討論可能有點(diǎn)偏差。問(wèn)題是：“ 什么是彩虹表，它們是如何使用的？ ”通常，我總是建議使用加密強(qiáng)隨機(jī)值作為salt，與哈希函數(shù)（例如密碼）一起使用，例如防止彩虹表攻擊。但實(shí)際上鹽是隨機(jī)的加密必要嗎？在這方面，任何唯一值（每個(gè)用戶(hù)唯一，例如userId）是否足夠？實(shí)際上，它會(huì)阻止使用單個(gè)Rainbow Table來(lái)破解系統(tǒng)中的所有（或大多數(shù)）密碼...... 但是缺少熵真的會(huì)削弱散列函數(shù)的加密強(qiáng)度嗎？注意，我不是在問(wèn)為什么要使用salt，如何保護(hù)它（它不需要），使用單個(gè)常量哈希（不要），或者使用什么樣的哈希函數(shù)。無(wú)論鹽是否需要熵。感謝所有答案到目前為止，但我想集中討論我（有點(diǎn)）不太熟悉的領(lǐng)域。主要是對(duì)密碼分析的影響 - 如果有人從密碼數(shù)學(xué)PoV獲得一些輸入，我會(huì)非常感激。此外，如果還有其他未被考慮的向量，那也是很好的輸入（參見(jiàn)@Dave Sherohman指向多個(gè)系統(tǒng)）。除此之外，如果您有任何理論，想法或最佳實(shí)踐 - 請(qǐng)使用證據(jù)，攻擊情景或經(jīng)驗(yàn)證據(jù)來(lái)支持這一點(diǎn)?；蛘呱踔潦强山邮艿臋?quán)衡的有效考慮因素......我對(duì)該主題的最佳實(shí)踐（資本B資本P）很熟悉，我想證明這實(shí)際上提供了什么價(jià)值。編輯：這里有一些非常好的答案，但我認(rèn)為正如@Dave所說(shuō)，它歸結(jié)為Rainbow Tables的常見(jiàn)用戶(hù)名......以及可能不太常見(jiàn)的名稱(chēng)。但是，如果我的用戶(hù)名是全局唯一的呢？不一定是我的系統(tǒng)唯一，但每個(gè)用戶(hù) - 例如電子郵件地址。沒(méi)有動(dòng)力為單個(gè)用戶(hù)構(gòu)建RT（正如@Dave強(qiáng)調(diào)的那樣，鹽不會(huì)保密），這仍然會(huì)阻止群集。唯一的問(wèn)題是我可能在不同的網(wǎng)站上有相同的電子郵件和密碼 - 但鹽無(wú)論如何都不會(huì)阻止它。因此，它回歸到密碼分析 - 是否需要熵？（我目前的想法是從密碼分析的角度來(lái)看沒(méi)有必要，但這是出于其他實(shí)際原因。）