一个抗脱库的密码哈希方法

也就是说'网站名'可以换成任意一个常量,相当于加了一个没有存在库里的盐,这样吗?

大概是这样吧？

* 客户端计算 hash(user+pass+site)，得出 user_hash
* 注册时客户端将 user 和 user_hash 发送到服务器，服务器建立 user 并创建对应 salt ，计算 hash(user+user_hash+site+salt) 得出 auth_hash ，将其存入一个与 user 无关联的表中
* 登录时服务器根据 user 查询 salt ，并计算 auth_hash ，如其在表中存在，则验证通过
* 修改密码时，根据旧密码计算出旧的 auth_hash 并删除之，然后创建新 salt 并保存新 auth_hash

被拖库时，攻击者只能看到 user 和对应 salt ，以及一堆无任何标识的 auth_hash ，既不能查表，也不能破解。

上面各位提到网站名 site ，其实在做 auth_hash 时用 hash(user+user_hash+salt) 即可，site 在此没有必要。这个方案主要就两点，客户端不发真实密码、服务器不保存 auth_hash 与用户的关联。

客户端发 hash 不发密码的出发点是什么呢？是怕被中间人嗅探、服务器日志记录吧，尽管保护了真实密码，但 user_hash 每次使用时都是不变的，在此网站也等同于密码，只起到有限的保护作用。

服务器不存 auth_hash 与用户的关联，的确将拖库后的破解难度提升了用户数量的倍数，如果有十万用户，从 auth_hash 暴力破解指定用户的 pass ，最多需要计算 256^20*256^20*100000 次

@dallaslu #22 旧的 auth_hash 不删除，这个表数据越多越好

@chenjia404 即使这个策略奏效，也只是将 256^40 变成 256^43 ，「几乎不可能」乘以十万也是「几乎不可能」

@dallaslu 恩，不过确实无法反向破解明文密码了，auth_hash 表公布都没有影响。

@dode 嗨，想了解一下，你这个是你们项目有在使用的东西么？

@stamhe 我们不涉及这个，我看到谷歌在用了

@dode google 和 apple 他们接入的是 fido alliance 的 passkey 方案，这个方案是个残疾。不能用于工业应用。

自从加盐哈希流行以后，安全界为啥还要建议使用 Bcrypt 、argon2 这些密码存储专用的哈希算法呢，无非是担心现有及以后的硬件暴力破解通用哈希算法太快。至于彩虹表，已经是上个过时版本了。

而你认为设计很好的点“ auth_hash 与 user 并非一一对应”，反而是最大的漏洞，因为它们其实是 N:1 的关系（ N 指 auth_hash 表的大小），意味着暴力破解时，可以碰撞的哈希值有 N 个。“这个表数据越多越好”，意味着破解的难度越低。

很多人以为，密码存储哈希值是避免用户的明文密码泄露，其实不然，是避免应用的明文密码泄露。如果是前者，那客户端密码 hash 早就流行开来了，还不至于成为开发者之间的争论点。对于后者，客户端密码 hash 毫无作用。

@CLMan #29 "可以碰撞的哈希值有 N 个，意味着破解的难度越低"，这里实际上碰撞难度没有下降，还是和哈希函数的强度正相关。

@chenjia404 我懂你的意思了，因为 hash 函数的特点，1:N 这种对应关系，其中 N-1 个是无效值，即碰撞就是白费力气，那你的方案确实有趣。当然由于没有知识背景，我无法判断这种说法是否正确。