Может ли соль предотвращать атаки словаря или грубой силы?

Question

Я только что прочитал article. И это сказал:

Так что я не говорю, что соли без цели, я говорю, что они не мешают словарь или грубой силы (которые они не делают).

Если у вас есть дамп базы данных, с хэшированными паролями и солями, вы можете начать грубую силу, только если знаете алгоритм шифрования. Если вы используете открытый источник, это может быть проблемой. Но если вы немного измените алгоритм, это не проблема, пока кто-нибудь не узнает об этом. Я прав?

Answer 1

Troy Hunt недавно написал отличную статью, Our password hashing has no clothes, в которой подробно описывается эволюция хэширования паролей, в том числе солей.

Несмотря на то, что соли не допускали прямых сравнений с предварительно украшенными радужными столами, его точка зрения заключается в том, что аппаратное обеспечение улучшилось до такой степени, что применение соли к неуправляемому радужному паролю и сравнение засоленных хешей теперь можно сделать за короткое время из-за того, закон.

Как утверждает Trickfire, использование проприетарного алгоритма хеширования - это безопасность через неясность. Если у злоумышленника есть ваша база данных, он также, вероятно, сможет получить ваше приложение и разобрать его и получить алгоритм.

Answer 2

Security through obscurity

В то время как это делает проблему выяснить пароль немного сложнее, опираясь на эту технику не рекомендуется.