如果您查看过asp.net成员(member)系统的表模式，它们会存储原始密码的哈希值以及用于生成它的盐。请参阅下面的架构，dbo.aspnet_MembershipApplicationIdUserIdPasswordPasswordFormatPasswordSaltMobilePINEmail...如果攻击者掌握了数据库，他是否更容易从加盐和散列密码中破解原始密码？查看一些记录后，似乎为每个密码生成了一个新的盐。这有什么意义？您会推荐这种方法，还是在代码中硬编码常量salt相关Aresaltsuselessforsecurityiftheattackerknowsthem?

两者之间有什么工作上的区别吗$hash=sha1($key.$staticSalt);和$hash=sha1($key.$randomSalt);如果我使用随机盐，我需要将随机盐存储在数据库中，另一方面，如果我使用固定盐，则无需使用数据库!如果代码可以被破解以查看盐(静态)，那么黑客也将能够使用哈希和随机盐查看数据库:D那么值得吗？如果我使用像@#kiss~89+.&&^me这样的盐会怎么样？ 最佳答案 随机盐具有巨大的好处。如果系统中的所有帐户都使用相同的salt，攻击者可以暴力计算该salt的哈希值，并仅通过一次计算运行即可侵入

我正在编写一个旨在使用AES256加密和解密文件的Android应用程序。我正在使用AES-CBC模式和PBKDF2从用户输入的密码中导出AESkey。此外，我正在为每个文件的加密key生成一个安全的伪随机盐。我将IV和salt与加密文件一起存储，因此我可以重新读取它们并稍后重新生成key以便能够解密文件。我的问题:将salt与加密文件一起存储是否会破坏安全性和salt本身的任何意义？知道盐和IV的攻击者不能对加密文件进行离线暴力攻击以找出加密key吗？ 最佳答案 盐的主要目的不是保密，而是确保攻击者在尝试暴力破解密码时不能使用快捷