PB2的密码存储没有加Salt

2012-02-14 11:27:56 +08:00
 daqing
今天读PB2代码发现的,直接用SHA1保存的。
6031 次点击
所在节点    Project Babel
2 条回复
ayanamist
2012-02-14 12:59:04 +08:00
估计当时@Livid 没考虑到这个问题吧。
加salt的目的是防止字典攻击,利用已有的密码和hash结果来寻找弱密码。不是为了反向破解。
m1a0
2012-02-14 13:01:37 +08:00
开源项目还是采用动态salt比较好啊, 使用彩虹表来攻击弱密码成本还是很低的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/27326

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX