我遇到了一個(gè)討論，在那次討論中，我了解到我實(shí)際上并不是在給密碼加鹽，而是在給它們添加胡椒粉，從那時(shí)起，我就開始使用以下功能：hash_function($salt.hash_function($pepper.$password)) [multiple iterations]忽略選擇的哈希算法（我希望這是關(guān)于鹽和胡椒的討論，而不是特定算法的討論，但是我使用的是安全算法），這是安全的選擇還是我應(yīng)該做一些不同的事情？對(duì)于不熟悉的術(shù)語：甲鹽是通常存儲(chǔ)與設(shè)計(jì)，使其不可能使用哈希表來破解密碼的數(shù)據(jù)庫中的字符串中的隨機(jī)生成值。由于每個(gè)密碼都有自己的特色，因此必須將所有密碼單獨(dú)強(qiáng)行破解。但是，由于鹽與密碼哈希一起存儲(chǔ)在數(shù)據(jù)庫中，因此數(shù)據(jù)庫泄密意味著同時(shí)丟失兩者。甲胡椒是從中旨在是秘密的數(shù)據(jù)庫（在應(yīng)用程序的源代碼通常硬編碼）分開存儲(chǔ)站點(diǎn)范圍靜態(tài)值。使用它是為了避免對(duì)數(shù)據(jù)庫的損害，不會(huì)導(dǎo)致整個(gè)應(yīng)用程序的密碼表都是蠻力的。我有什么想念的嗎？給密碼加鹽和胡椒粉是保護(hù)用戶安全的最佳選擇嗎？這樣做是否存在潛在的安全缺陷？注意：出于討論目的，假設(shè)應(yīng)用程序和數(shù)據(jù)庫存儲(chǔ)在單獨(dú)的計(jì)算機(jī)上，不共享密碼等，因此違反數(shù)據(jù)庫服務(wù)器并不意味著違反應(yīng)用程序服務(wù)器。