密码盐和哈希

最好为每个用户/密码散列提供唯一的盐，而不是重复使用有限的100个盐。

原因是因为黑客一旦掌握了一个充满密码的数据库，就会试图破坏它，特别是使用彩虹表来查找多个用户之间共享的已知值。

示例(伪代码):

这很糟糕，因为一旦黑客破解了第一个密码哈希，两个用户都被泄露了。

 //BAD WAY
 var nonUniqueSalt = "some salt value";
 var userPass1 = "P@ssword!";
 var userPass2 = "P@ssword!";
 //Bad! This will be true!
 var isSame = (DoHash(userPass1 + nonUniqueSalt) == DoHash(userPass2 + nonUniqueSalt)); 

这种方法更好，因为即使密码相同，盐也是不同的，所以黑客不能使用彩虹表，并且被迫单独危及每个用户的密码。

 //BETTER WAY
 var uniqueSalt1 = "unique salt 1";
 var userPass1 = "P@ssword!";
 var uniqueSalt2 = "unique salt 2";
 var userPass2 = "P@ssword!";
 //Better! This will be false.
 var isSame = (DoHash(userPass1 + uniqueSalt1) == DoHash(userPass2 + uniqueSalt2)); 

至于一些用户在评论中提到的加盐"算法"，你真的不需要太担心它，除了尝试使每个用户的盐唯一(因为上面描述的原因)。

在实践中，无论您使用什么盐，都需要与密码哈希一起存储在数据库中，因此一旦黑客拥有了数据库，无论您如何获得它，他都将拥有您用于盐的值。

因此，使用基于guide . newguid (). tostring()之类的salt就足以为每个登录提供唯一的值。