tag
密碼
該標籤下有 3 篇文章
2026-06-27
密碼雜湊是什麼 — 用不可逆的單向轉換安全保存密碼的機制
密碼雜湊=用不可逆的單向轉換來保存密碼的方法。明文保存不可取。與加密不同,它無法被解密,這正是優點。但直接使用 MD5/SHA-256 會被彩虹表或暴力破解攻破。正確做法是『每個使用者不同的 salt』+『故意做得很慢的專用雜湊(bcrypt/Argon2/scrypt)』。不要自己實作,交給標準函式庫。
2026-06-27
salt(鹽)是什麼 — 給密碼雜湊新增的「每個使用者各不相同的調味」
salt=在對密碼做雜湊之前新增的、每個使用者各不相同的隨機值。即便密碼相同,所有人的保存值也會各不相同,預先計算好的彩虹表因此失效,攻擊者也無法用一次破解攻破多個人。salt 不是祕密,可以和雜湊一起保存。使用 bcrypt/Argon2 時會自動加上。
2026-06-27
如何安全儲存密碼 —— 雜湊與加鹽的正確做法
面向伺服器端的密碼安全儲存實戰指南。先理解明文、加密、裸雜湊為什麼都不行,再收斂到『為每個使用者加鹽+故意放慢的專用雜湊(首選 Argon2id,其次 bcrypt/scrypt)』。不要自己造輪子,直接用標準函式;成本參數要定期複核;既有的弱雜湊在使用者登入時重新雜湊以完成遷移。