Можете ли вы взломать хешированный пароль, когда соль хранится рядом с хешем?

Question

Хорошо, так что я читал (много!) О безопасности и о хэше, засолке, шифровании и т. Д., И то, что я продолжаю видеть, действительно беспокоит меня.Кажется, что многие люди, которые, кажется, действительно знают свои вещи, продолжают говорить, что можно хранить соль с хешированным паролем в БД.

Я не могу не задуматься, почему?Что делать, если ваша БД сбрасывается?У них есть доступ ко всему, что, для меня, означает, что они могут просматривать любую запись, и вот (!) Рядом с ней есть хешированный пароль и текстовая соль.Это дает им информацию, в которой они нуждаются, чтобы запустить ее против радужных таблиц и / или словарных атак, не так ли?

Я, должно быть, что-то упускаю (да, этого никогда не было раньше!) И действительно получал бы некоторое просветлениепо этому вопросу.

Answer 1

Радужные таблицы неэффективны против набора паролей с разными солями, даже если соль известна;Вы должны были бы построить различные таблицы для каждой соли, и это побеждает всю цель радужных таблиц.Для злоумышленника будет быстрее перебрать каждый пароль в отдельности.Это цель получения соли для каждого пользователя.

Другими словами, радужные таблицы эффективны только в том случае, если вы пытаетесь взломать много паролей, которые были обработаны одинаково, с использованием одного алгоритма дайджеста.Если для каждого пароля ввести разную соль, это означает, что пароли не перевариваются одинаково.