什么使哈希函数适合于密码哈希？

#1 楼

对于密码哈希，不应使用常规的密码哈希，而应使用专门用于保护密码的哈希，例如bcrypt。

请参阅如何安全地存储密码以获取详细信息（本文提倡使用bcrypt ）。

重要的一点是，密码破解者不必暴力破解哈希输出空间（SHA-1为$ 2 ^ {160} $），而只有密码空间，这是很多较小（取决于您的密码规则-词典通常会有所帮助）。因此，我们不需要快速的散列函数，而需要较慢的散列函数。因此，实际上不可能满足您不太昂贵的要求。 Bcrypt和朋友*是为此目的而设计的。

* Bcrypt和朋友：所有慢速哈希函数。有PBKDF-2（基本上只是用一些可配置的大量回合用盐迭代一个快速的哈希，因此蛮力可以很容易地并行化-但是在NIST标准中提到过，这对于某些用途可能很重要）， bcrypt（另外需要4 KB的内存，这使得标准GPU上的并行化（蛮力）相当慢，但是仍然可以在每个处理单元具有4KB缓存的定制硬件上受到攻击）和scrypt（不仅需要可配置的时间量，但也有可配置的执行空间量（可能需要权衡时间），因此无法轻易（廉价地）并行执行暴力破解。）

当然，您应该始终使用加盐的哈希值（bcrypt自动包含一个盐）。盐与哈希一起存储在数据库中（例如，它不比哈希更秘密），并且将与密码一起哈希以产生哈希。

单独添加盐并不能帮助专门针对您的密码进行蛮力攻击，但可以帮助抵抗彩虹表攻击（即具有预先计算的哈希列表的攻击），该攻击可以在所有时间同时遍及所有地方而不是只有所有带有相同盐的密码（应该只有一个）。

还有“秘密盐”（也称为Pepper）的概念，它不会与密码一起存储，但在可能的攻击者无法访问的其他位置。 （然后，您通常会使用胡椒粉作为非用户特定的信息以及普通的盐。）

这仅适用于某些攻击情形，其中攻击者确实只有（读取）对数据库（或可能在数据库上的安全性较低的备份副本）的访问，但不访问此Pepper数据（即，我们有一个攻击者尚无法在服务器上执行任意代码）。

另一种可能性是使用带有嵌入式密钥的服务器上连接的某种加密硬件（令牌），该硬件对盐，密钥和密码进行某种哈希运算以产生哈希。确保对它进行速率限制以防它被盗，并确保它没有检索密钥的接口，否则攻击者（如果她成功获得了服务器上的执行访问权限）也可以使用此方法。 br />

#2 楼

像这样的更实际的问题实际上会引发风险管理问题，它更适合更广泛的受众，请访问https://security.stackexchange.com/那里的相关问题，例如如何安全地对密码进行哈希加密。

在很多情况下建议使用Bcrypt。但是，如果您需要使用经批准可用于美国政府工作的算法，则可能更喜欢PBKDF2。或者，如果您的主要关注点是长期抵抗硬件攻击，那么考虑到scrypt具有“内存硬性”和抵抗硬件攻击的能力，scrypt会更适合。

因此，没有一个真正的答案，最好去风险管理专家的聚会。

更新：“密码哈希竞赛”为密码哈希算法的良好属性建立了现代基准。在2015年，它选出了获奖者：Argon2。 Argon2被设计为“难以记忆”，从而使破解者难以实现GPU实现；简单;高度可配置；似乎正在通过时间的考验，尽管正如Thomas所指出的那样，现代密码哈希方法是否比bcrypt和scrypt？ br />