我读了一些关于盐和密码散列的文章,有几个人提到了彩虹攻击。彩虹攻击到底是什么?预防它的最好方法是什么?
发布于 2009-06-18 14:02:27
维基百科的文章有点难以理解。简而言之,您可以将彩虹表看作是一个大型字典,其中包含预先计算的散列和从中计算散列的密码。
彩虹表和其他字典的区别只在于存储条目的方法不同。彩虹表针对散列和密码进行了优化,因此在保持良好的查找速度的同时实现了巨大的空间优化。但本质上,它只是一本字典。
当攻击者从你那里窃取一长串密码哈希时,他可以快速检查其中是否有任何一个在彩虹表中。对于那些被散列的人,彩虹表还将包含它们的散列字符串。
当然,有太多的散列存储在一个彩虹表中。因此,如果散列不在特定的表中,黑客就不走运了。但是,如果您的用户使用简单的英语单词,而您只对它们进行了一次哈希运算,那么很有可能一个好的彩虹表将包含密码。
发布于 2009-06-18 13:50:43
当有人使用Rainbow table破解密码的时候。
如果你担心这一点,你应该使用Salt。还有一个Stack Overlow question可能会帮助你比维基百科更好地理解salt……
发布于 2009-06-18 13:54:01
这是一个外行人员的useful article on Rainbow Tables。(并不是说你是外行,但这篇文章写得很好,很简洁。)
https://stackoverflow.com/questions/1012724
复制相似问题