3
读一本书说:反复刷新以获得更多计算密集的字节序列。如果您重复使用100次,则可能需要1个月的字典攻击需要8年时间。为什么?我不明白。任何人都能解释?为什么重新粉刷会使它更安全?
A
回答
1
假设你有一个散列函数是这样的:
password_hash = MD5(password)
给定一个散列,说5f4dcc3b5aa765d61d8327deb882cf99,您的首选技术会产生使用上述功能的字典中的所有单词的哈希值,然后比较password_hash添加到您想要反转的那个。
现在假设你改变你的散列函数
password_hash = password
for i = 1 to 100
password_hash = MD5(password_hash)
next
作为一个攻击者,这时候你就必须哈希每个单词在字典100倍,它与要蛮力给定的哈希值进行比较。因此,如果多次散列密码,攻击者需要更长的时间才能强制给定散列。
正是出于这个目的,像MD5和SHA家族这样的快速哈希算法并不适合哈希密码。您可以阅读http://codahale.com/how-to-safely-store-a-password/以了解像bcrypt这样的慢速算法如何更适合密码散列。
相关问题
- 1. 为什么JLabel不断重新粉刷?
- 2. SurfaceView不会重新粉刷
- 3. 摆动重新粉刷
- 4. JLabel不重新粉刷
- 5. 为什么我的背景在重新粉刷后出现毛刺?
- 6. 为什么VSCode全新安装认为它有TypeScript?
- 7. PHP会话正在刷新为什么?
- 8. 为什么认为加密更安全?
- 9. 为什么会话ID cookie不安全
- 10. 重新粉刷开罗窗户?
- 11. 为什么这被认为是Sharepoint中的“不安全更新”?
- 12. 为什么scanf比getchar更安全?
- 13. 为什么ASP.NET比ASP Classic更安全?
- 14. 为什么Rabin Cryptosystem比RSA更安全?
- 15. 为什么vapply比sapply更安全?
- 16. 为什么重新启动MySQL会使我的网站更快?
- 17. JavaFX闪烁(重新粉刷这么晚)onmouseover与集成Swing
- 18. 为什么unicorn.pid被更新,但进程不会重新启动?
- 19. 为什么ListView不刷新?
- 20. 为什么要刷新CharsetDecoder?
- 21. 为什么不刷新ICollectionView?
- 22. 为什么CERR刷新COUT
- 23. 为什么不刷新行?
- 24. 为什么“包更新”不会更新Gemfile以使用Rails 3.0.5?
- 25. 为什么std :: ifstream不会更新,如果全局定义
- 26. CSP内容安全策略 - 为什么我们不使用它?
- 27. 为什么重新安装和卸载Homebrew会失败?
- 28. 安装.apk文件后,为什么Android 2.2会重新启动?
- 29. 这为什么不安全?
- 30. 为什么Generics.Collections.TObjectList.List不安全?