盐是什么？ - V2EX

我听朋友说：“加盐可以抵御黑客”，这令我感觉非常疑惑，请告诉我在服务器上撒盐来抵御黑客的原理。还是我理解错误？

wanguorui123

2021-03-30 17:28:12 +08:00

盐就是让黑客觉得很咸，使到手的食物很难下口的调料，这个调料就是盐很重口的盐。

盐混淆了每个加密样本的共同特征，让黑客很难用通用的模型进行逆向分析。

wakzz

2021-03-30 17:41:31 +08:00

日本那边服务器上线要请巫女去开光，撒盐辟邪

ronman

2021-03-30 17:44:34 +08:00

@kaiki 这个解释绝了，有画面了

daytick

2021-03-30 18:00:01 +08:00

给认真回答的人点个赞👍🏻

daytick

2021-03-30 18:00:44 +08:00

@eason1874 给认真回答的人点个赞👍🏻

2021-03-30 18:03:12 +08:00

搜索 hash salt

oy9r

2021-03-30 18:51:31 +08:00

不知道怎么搜，搜了全是 NaCl

xavierskip

2021-03-30 19:53:59 +08:00

很多用户会使用相同（或者很弱）的口令，那么存储在数据库中的密码就会是相同的。（如何存储用户的密码这个过程还需要科普吗？）
黑客获取到用户的密码后要反向得到用户的口令，一般通过提前准备好的表来查对应关系，哪些经常出现以及容易出现的自然就会在表中被查到（把每一个可能的口令都放到表里将是巨大的），所以我们擅做主张给用户的口令加上一点点的东西让它们看起来不那么简单和弱以及各不相同，这样简单的加上点东西就会就给黑客带来很大的麻烦。

wmwgijol28

2021-03-30 20:18:24 +08:00

@putaozhenhaochi 🤣🤣🤣

redtea

2021-03-30 20:26:46 +08:00

用盐也不安全，如果盐是一样的，黑客拿到 hash 后的密码还是能破解的，用 bcrypt 。

zhangfuguan

2021-03-30 22:54:01 +08:00

NaCl

pabupa

2021-03-30 23:45:16 +08:00

hash(pwd) => h1，虽然 h1 很难推出 pwd，但是如果数据多了，就还是可以推出来。
hahs(pwd+NaCl) => h2, 即使黑客通过 h2，找出了(pwd+NaCl)，也不能直接推出 pwd 。
但是如果整个数据库都没了，而刚好很多账户的 h2 都能被反推，那这样还是不行……

pabupa

2021-03-30 23:45:37 +08:00

@pabupa #32 NaCl == salt

kimwang

2021-03-30 23:50:41 +08:00

https://v2ex.com/t/331245

相關參考。

EscYezi

2021-03-31 00:46:43 +08:00

@oy9r #27 关键词 md5 加盐

X-Force

2021-03-31 03:26:36 +08:00

难道不是加些盐可以驱魔辟邪，让系统更安全么？

yeqizhang

2021-03-31 08:10:56 +08:00

氯化钠，食用盐还要加点碘

243205964

2021-03-31 08:16:08 +08:00

@oy9r 搜的时候加上关键词“密码”

tabris17

2021-03-31 09:54:00 +08:00

题外话，为什么要把参与哈希运算的随机字符串叫做 salt ? 而不是 sugar 、pepper 、chili ？

tonyaiken

2021-03-31 13:11:49 +08:00

@misaka19000 同感，直接搜一下密码加盐就知道了

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/766572

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.