一、如何安全地存储密码

1、保护密码好的的方式就是使用带盐的密码hash(salted password hashing).对密码进行hash*作是一件很简单的事情，但是很多人都犯了错。接下来我希望可以详细的阐述如何恰当的对密码进行hash，以及为什么要这样做。

2、如果你打算自己写一段代码来进行密码hash，那么赶紧停下吧。这样太容易犯错了。这个提醒适用于每一个人，不要自己写密码的hash算法！关于保存密码的问题已经有了成熟的方案，那就是使用phpass或者本文提供的源码。

3、hash("hello")= 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824

4、hash("hbllo")= 58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366

5、hash("waltz")= c0e81794384491161f1777c232bc6bd9ec38f616560b120fda8e90f383853542

6、Hash算法是一种单向的函数。它可以把任意数量的数据转换成固定长度的“指纹”，这个过程是不可逆的。而且只要输入发生改变，哪怕只有一个**t，输出的hash值也会有很大不同。这种特性恰好合适用来用来保存密码。因为我们希望使用一种不可逆的算法来加密保存的密码，同时又需要在用户登陆的时候验证密码是否正确。

7、在一个使用hash的账号系统中，用户注册和认证的大致流程如下：

8、2,用户密码经过hash*作之后存储在数据库中。没有任何明文的密码存储在服务器的硬盘上。

9、3,用户登陆的时候，将用户输入的密码进行hash*作后与数据库里保存的密码hash值进行对比。

10、4,如果hash值完全一样，则认为用户输入的密码是正确的。否则就认为用户输入了无效的密码。

11、5,每次用户尝试登陆的时候就重复步骤3和步骤4。

12、在步骤4的时候不要告诉用户是账号还是密码错了。只需要显示一个通用的提示，比如账号或密码不正确就可以了。这样可以防止攻击者枚举有效的用户名。

13、还需要注意的是用来保护密码的hash函数跟数据结构课上见过的hash函数不完全一样。比如实现hash表的hash函数设计的目的是快速，但是不够安全。只有加密hash函数(cryptographic hash functions)可以用来进行密码的hash。这样的函数有SHA256, SHA512, RipeMD, WHIRLPOOL等。

14、一个常见的观念就是密码经过hash之后存储就安全了。这显然是不正确的。有很多方式可以快速的从hash恢复明文的密码。还记得那些md5破解网站吧，只需要提交一个hash，不到一秒钟就能知道结果。显然，单纯的对密码进行hash还是远远达不到我们的安全需求。下一部分先讨论一下破解密码hash，获取明文常见的手段。

15、字典和暴力破解攻击(Dictionary and Brute Force Attacks)

16、常见的破解hash手段就是猜测密码。然后对每一个可能的密码进行hash，对比需要破解的hash和猜测的密码hash值，如果两个值一样，那么之前猜测的密码就是正确的密码明文。猜测密码攻击常用的方式就是字典攻击和暴力攻击。

17、字典攻击是将常用的密码，单词，短语和其他可能用来做密码的字符串放到一个文件中，然后对文件中的每一个词进行hash，将这些hash与需要破解的密码hash比较。这种方式的成功率取决于密码字典的大小以及字典的是否合适。

18、暴力攻击就是对于给定的密码长度，尝试每一种可能的字符组合。这种方式需要花费大量的计算机时间。但是理论上只要时间足够，后密码一定能够破解出来。只是如果密码太长，破解花费的时间就会大到无法承受。

19、目前没有方式可以阻止字典攻击和暴力攻击。只能想办法让它们变的低效。如果你的密码hash系统设计的是安全的，那么破解hash唯一的方式就是进行字典或者暴力攻击了。

20、对于特定的hash类型，如果需要破解大量hash的话，查表是一种非常有效而且快速的方式。它的理念就是预先计算(pre-compute)出密码字典中每一个密码的hash。然后把hash和对应的密码保存在一个表里。一个设计良好的查询表结构，即使存储了数十亿个hash，每秒钟仍然可以查询成百上千个hash。

21、如果你想感受下查表破解hash的话可以尝试一下在CraskStation上破解下下面的sha256 hash。

22、c11083b4b0a7743af748c85d343dfee9fbb8b2576c05f3a7f0d632b0926aadfc

23、08eac03b80adc33dc7d8fbe44b7c7b05d3a2c511166bdb43fcb710b03ba919e7

24、e4ba5cbd251c98e6cd1c23f126a3b81d8d8328abc95387229850952b3ef9f904

25、5206b8b8a996cf5320cb12ca91c7b790fba9f030408efe83ebb83548dc3007bd

26、反向查表破解(Reverse Lookup Tables)

27、Searching for hash(apple) in users' hash list...: Matches [alice3, 0bob0, charles8]

28、Searching for hash(blueberry) in users' hash list...: Matches [usr10101, timmy, john91]

29、Searching for hash(letmein) in users' hash list...: Matches [wilson10, dragonslayerX, joe1984]

30、Searching for hash(s3cr3t) in users' hash list...: Matches [bruce19, knuth1337, john87]

31、Searching for hash(z@29hjja) in users' hash list...: No users used this password

32、这种方式可以让攻击者不预先计算一个查询表的情况下同时对大量hash进行字典和暴力破解攻击。

33、首先，攻击者会根据获取到的数据库数据制作一个用户名和对应的hash表。然后将常见的字典密码进行hash之后，跟这个表的hash进行对比，就可以知道用哪些用户使用了这个密码。这种攻击方式很有效果，因为通常情况下很多用户都会有使用相同的密码。

34、彩虹表是一种使用空间换取时间的技术。跟查表破解很相似。只是它牺牲了一些破解时间来达到更小的存储空间的目的。因为彩虹表使用的存储空间更小，所以单位空间就可以存储更多的hash。彩虹表已经能够破解8位长度的任意md5hash。彩虹表具体的原理可以参考

35、下一章节我们会讨论一种叫做“盐”(salting)的技术。通过这种技术可以让查表和彩虹表的方式无法破解hash。

36、hash("hello")= 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824

37、hash("hello"+"QxLUF1bgIAdeQX")= 9e209040c863f84a31e719795b2577523954739fe5ed3b58a75cff2127075ed1

38、hash("hello"+"bv5PehSMfV11Cd")= d1d3ec2e6f20fd420d50e2642992841d8338a314b8ea157c9e18477aaef226ab

39、hash("hello"+"YYLmfY6IehjZMQ")= a49670c3c18b9e079b9cfaf51634f563dc8ae3070db2c4a8544305df1b60f007

40、查表和彩虹表的方式之所以有效是因为每一个密码的都是通过同样的方式来进行hash的。如果两个用户使用了同样的密码，那么一定他们的密码hash也一定相同。我们可以通过让每一个hash随机化，同一个密码hash两次，得到的不同的hash来避免这种攻击。

41、具体的*作就是给密码加一个随即的前缀或者后缀，然后再进行hash。这个随即的后缀或者前缀成为“盐”。正如上面给出的例子一样，通过加盐，相同的密码每次hash都是完全不一样的字符串了。检查用户输入的密码是否正确的时候，我们也还需要这个盐，所以盐一般都是跟hash一起保存在数据库里，或者作为hash字符串的一部分。

42、盐不需要保密，只要盐是随机的话，查表，彩虹表都会失效。因为攻击者无法事先知道盐是什么，也就没有办法预先计算出查询表和彩虹表。如果每个用户都是使用了不同的盐，那么反向查表攻击也没法成功。

43、下一节，我们会介绍一些盐的常见的错误实现。

44、常见的错误实现就是一个盐在多个hash中使用或者使用的盐很短。

45、不管是将盐硬编码在程序里还是随机一次生成的，在每一个密码hash里使用相同的盐会使这种防御方法失效。因为相同的密码hash两次得到的结果还是相同的。攻击者就可以使用反向查表的方式进行字典和暴力攻击。只要在对字典中每一个密码进行hash之前加上这个固定的盐就可以了。如果是流行的程序的使用了硬编码的盐，那么也可能出现针对这种程序的这个盐的查询表和彩虹表，从而实现快速破解hash。

46、用户每次创建或者修改密码一定要使用一个新的随机的盐

47、如果盐的位数太短的话，攻击者也可以预先制作针对所有可能的盐的查询表。比如，3位ASCII字符的盐，一共有95x95x95= 857,375种可能性。看起来好像很多。假如每一个盐制作一个1MB的包含常见密码的查询表，857,375个盐才是837GB。现在买个1TB的硬盘都只要几百块而已。

48、基于同样的理由，千万不要用用户名做为盐。虽然对于每一个用户来说用户名可能是不同的，但是用户名是可预测的，并不是完全随机的。攻击者完全可以用常见的用户名作为盐来制作查询表和彩虹表破解hash。

49、根据一些经验得出来的规则就是盐的大小要跟hash函数的输出一致。比如，SHA256的输出是256**ts(32bytes),盐的长度也应该是32个字节的随机数据。

50、错误的方式：双重hash和古怪的hash函数

51、这一节讨论另外一个常见的hash密码的误解:古怪的hash算法组合。人们可能解决的将不同的hash函数组合在一起用可以让数据更安全。但实际上，这种方式带来的效果很微小。反而可能带来一些互通性的问题，甚至有时候会让hash更加的不安全。本文一开始就提到过，永远不要尝试自己写hash算法，要使用专家们设计的标准算法。有些人会觉得通过使用多个hash函数可以降低计算hash的速度，从而增加破解的难度。通过减慢hash计算速度来防御攻击有更好的方法，这个下文会详细介绍。

52、下面是一些网上找到的古怪的hash函数组合的样例。

53、sha1(str_rot13(password+ salt))

54、md5(sha1(md5(md5(password)+ sha1(password))+ md5(password)))

55、注意：这部分的内容其实是存在争议的！我收到过大量邮件说组合hash函数是有意义的。因为如果攻击者不知道我们用了哪个函数，就不可能事先计算出彩虹表，并且组合hash函数需要更多的计算时间。

56、攻击者如果不知道hash算法的话自然是无法破解hash的。但是考虑到Kerckhoffs’s principle,攻击者通常都是能够接触到源码的(尤其是免费软件和开源软件)。通过一些目标系统的密码–hash对应关系来逆向出算法也不是非常困难。

57、如果你想使用一个标准的”古怪”的hash函数，比如HMAC，是可以的。但是如果你的目的是想减慢hash的计算速度，那么可以读一下后面讨论的慢速hash函数部分。基于上面讨论的因素，好的做法是使用标准的经过严格测试的hash算法。

58、因为hash函数是将任意数量的数据映射成一个固定长度的字符串，所以一定存在不同的输入经过hash之后变成相同的字符串的情况。加密hash函数(Cryptographic hash function)在设计的时候希望使这种碰撞攻击实现起来成本难以置信的高。但时不时的就有密码学家发现快速实现hash碰撞的方法。近的一个例子就是MD5，它的碰撞攻击已经实现了。

59、碰撞攻击是找到另外一个跟原密码不一样，但是具有相同hash的字符串。但是，即使在相对弱的hash算法，比如MD5,要实现碰撞攻击也需要大量的算力(computing power),所以在实际使用中偶然出现hash碰撞的情况几乎不太可能。一个使用加盐MD5的密码hash在实际使用中跟使用其他算法比如SHA256一样安全。不过如果可以的话，使用更安全的hash函数，比如SHA256, SHA512, RipeMD, WHIRLPOOL等是更好的选择。

60、正确的方式：如何恰当的进行hash

61、这部分会详细讨论如何恰当的进行密码hash。第一个章节是基础的，这章节的内容是必须的。后面一个章节是阐述如何继续增强安全性，让hash破解变得异常困难。

62、我们已经知道**黑客可以通过查表和彩虹表的方式快速的获得hash对应的明文密码，我们也知道了通过使用随机的盐可以解决这个问题。但是我们怎么生成盐，怎么在hash的过程中使用盐呢？

63、盐要使用密码学上可靠安全的伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator(CSPRNG))来产生。CSPRNG跟普通的伪随机数生成器比如C语言中的rand(),有很大不同。正如它的名字说明的那样，CSPRNG提供一个高标准的随机数，是完全无法预测的。我们不希望我们的盐能够被预测到，所以一定要使用CSPRNG。

二、java中String类型存储位置

一、new String都是在堆上创建字符串对象。

编译器会将字符串添加到常量池中（stringTable维护），

二、通过字面量赋值创建字符串（如：String str=”twm”）时，

会先在常量池中查找是否存在相同的字符串，若存在，

则将栈中的引用直接指向该字符串；若不存在，则在常量池中生成一个字符串，

编译阶段直接会合成为一个字符串。

在编译阶段会直接合并成语句String str=”J**A”，

于是会去常量池中查找是否存在”J**A”,从而进行创建或引用。

四、对于final字段，编译期直接进行了常量替换（而对于非final字段则是在运行期进行赋值处理的）。

在编译时，直接替换成了String str3=”ja”+”va”，根据第三条规则，

再次替换成String str3=”J**A”

五、常量字符串和变量拼接时（如：String str3=baseStr+“01”;）

会调用stringBuilder.append()在堆上创建新的对象。

六、JDK 1.7后，intern方法还是会先去查询常量池中是否有已经存在，

如果存在，则返回常量池中的引用，这一点与之前没有区别，

区别在于，如果在常量池找不到对应的字符串，则不会再将字符串拷贝到常量池，

而只是在常量池中生成一个对原字符串的引用。简单的说，就是往常量池放的东西变了

原来在常量池中找不到时，**一个副本放到常量池，1.7后则是将在堆上的地址引用**到常量池。

String str2= new String(“str”)+new String(“01”);

System.out.println(str2==str1);

在JDK 1.7下，当执行str2.intern();时，

因为常量池中没有“str01”这个字符串，所以会在常量池中生成一个对堆中的“str01”的引用

(注意这里是引用，就是这个区别于JDK 1.6的地方。在JDK1.6下是生成原字符串的拷贝)，

而在进行String str1=“str01”;字面量赋值的时候，常量池中已经存在一个引用，

所以直接返回了该引用，因此str1和str2都指向堆中的同一个字符串，返回true。

String str2= new String(“str”)+new String(“01”);

System.out.println(str2==str1);

将中间两行调换位置以后，因为在进行字面量赋值（String str1=“str01″）的时候，

常量池中不存在，所以str1指向的常量池中的位置，而str2指向的是堆中的对象，

再进行intern方法时，对str1和str2已经没有影响了，所以返回false。

三、如何安全的存储密码

1、保护密码好的的方式就是使用带盐的密码hash(salted password hashing).对密码进行hash*作是一件很简单的事情，但是很多人都犯了错。接下来我希望可以详细的阐述如何恰当的对密码进行hash，以及为什么要这样做。

2、如果你打算自己写一段代码来进行密码hash，那么赶紧停下吧。这样太容易犯错了。这个提醒适用于每一个人，不要自己写密码的hash算法！关于保存密码的问题已经有了成熟的方案，那就是使用phpass或者本文提供的源码。

3、hash("hello")= 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824

4、hash("hbllo")= 58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366

5、hash("waltz")= c0e81794384491161f1777c232bc6bd9ec38f616560b120fda8e90f383853542

6、Hash算法是一种单向的函数。它可以把任意数量的数据转换成固定长度的“指纹”，这个过程是不可逆的。而且只要输入发生改变，哪怕只有一个**t，输出的hash值也会有很大不同。这种特性恰好合适用来用来保存密码。因为我们希望使用一种不可逆的算法来加密保存的密码，同时又需要在用户登陆的时候验证密码是否正确。

7、在一个使用hash的账号系统中，用户注册和认证的大致流程如下：

8、2,用户密码经过hash*作之后存储在数据库中。没有任何明文的密码存储在服务器的硬盘上。

9、3,用户登陆的时候，将用户输入的密码进行hash*作后与数据库里保存的密码hash值进行对比。

10、4,如果hash值完全一样，则认为用户输入的密码是正确的。否则就认为用户输入了无效的密码。

11、5,每次用户尝试登陆的时候就重复步骤3和步骤4。

12、在步骤4的时候不要告诉用户是账号还是密码错了。只需要显示一个通用的提示，比如账号或密码不正确就可以了。这样可以防止攻击者枚举有效的用户名。

13、还需要注意的是用来保护密码的hash函数跟数据结构课上见过的hash函数不完全一样。比如实现hash表的hash函数设计的目的是快速，但是不够安全。只有加密hash函数(cryptographic hash functions)可以用来进行密码的hash。这样的函数有SHA256, SHA512, RipeMD, WHIRLPOOL等。

14、一个常见的观念就是密码经过hash之后存储就安全了。这显然是不正确的。有很多方式可以快速的从hash恢复明文的密码。还记得那些md5破解网站吧，只需要提交一个hash，不到一秒钟就能知道结果。显然，单纯的对密码进行hash还是远远达不到我们的安全需求。下一部分先讨论一下破解密码hash，获取明文常见的手段。

15、字典和暴力破解攻击(Dictionary and Brute Force Attacks)

16、常见的破解hash手段就是猜测密码。然后对每一个可能的密码进行hash，对比需要破解的hash和猜测的密码hash值，如果两个值一样，那么之前猜测的密码就是正确的密码明文。猜测密码攻击常用的方式就是字典攻击和暴力攻击。

17、字典攻击是将常用的密码，单词，短语和其他可能用来做密码的字符串放到一个文件中，然后对文件中的每一个词进行hash，将这些hash与需要破解的密码hash比较。这种方式的成功率取决于密码字典的大小以及字典的是否合适。

18、暴力攻击就是对于给定的密码长度，尝试每一种可能的字符组合。这种方式需要花费大量的计算机时间。但是理论上只要时间足够，后密码一定能够破解出来。只是如果密码太长，破解花费的时间就会大到无法承受。

19、目前没有方式可以阻止字典攻击和暴力攻击。只能想办法让它们变的低效。如果你的密码hash系统设计的是安全的，那么破解hash唯一的方式就是进行字典或者暴力攻击了。

20、对于特定的hash类型，如果需要破解大量hash的话，查表是一种非常有效而且快速的方式。它的理念就是预先计算(pre-compute)出密码字典中每一个密码的hash。然后把hash和对应的密码保存在一个表里。一个设计良好的查询表结构，即使存储了数十亿个hash，每秒钟仍然可以查询成百上千个hash。

21、如果你想感受下查表破解hash的话可以尝试一下在CraskStation上破解下下面的sha256 hash。

22、c11083b4b0a7743af748c85d343dfee9fbb8b2576c05f3a7f0d632b0926aadfc

23、08eac03b80adc33dc7d8fbe44b7c7b05d3a2c511166bdb43fcb710b03ba919e7

24、e4ba5cbd251c98e6cd1c23f126a3b81d8d8328abc95387229850952b3ef9f904

25、5206b8b8a996cf5320cb12ca91c7b790fba9f030408efe83ebb83548dc3007bd

26、反向查表破解(Reverse Lookup Tables)

27、Searching for hash(apple) in users' hash list...: Matches [alice3, 0bob0, charles8]

28、Searching for hash(blueberry) in users' hash list...: Matches [usr10101, timmy, john91]

29、Searching for hash(letmein) in users' hash list...: Matches [wilson10, dragonslayerX, joe1984]

30、Searching for hash(s3cr3t) in users' hash list...: Matches [bruce19, knuth1337, john87]

31、Searching for hash(z@29hjja) in users' hash list...: No users used this password

32、这种方式可以让攻击者不预先计算一个查询表的情况下同时对大量hash进行字典和暴力破解攻击。

33、首先，攻击者会根据获取到的数据库数据制作一个用户名和对应的hash表。然后将常见的字典密码进行hash之后，跟这个表的hash进行对比，就可以知道用哪些用户使用了这个密码。这种攻击方式很有效果，因为通常情况下很多用户都会有使用相同的密码。

34、彩虹表是一种使用空间换取时间的技术。跟查表破解很相似。只是它牺牲了一些破解时间来达到更小的存储空间的目的。因为彩虹表使用的存储空间更小，所以单位空间就可以存储更多的hash。彩虹表已经能够破解8位长度的任意md5hash。彩虹表具体的原理可以参考

35、下一章节我们会讨论一种叫做“盐”(salting)的技术。通过这种技术可以让查表和彩虹表的方式无法破解hash。

36、hash("hello")= 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824

37、hash("hello"+"QxLUF1bgIAdeQX")= 9e209040c863f84a31e719795b2577523954739fe5ed3b58a75cff2127075ed1

38、hash("hello"+"bv5PehSMfV11Cd")= d1d3ec2e6f20fd420d50e2642992841d8338a314b8ea157c9e18477aaef226ab

39、hash("hello"+"YYLmfY6IehjZMQ")= a49670c3c18b9e079b9cfaf51634f563dc8ae3070db2c4a8544305df1b60f007

40、查表和彩虹表的方式之所以有效是因为每一个密码的都是通过同样的方式来进行hash的。如果两个用户使用了同样的密码，那么一定他们的密码hash也一定相同。我们可以通过让每一个hash随机化，同一个密码hash两次，得到的不同的hash来避免这种攻击。

41、具体的*作就是给密码加一个随即的前缀或者后缀，然后再进行hash。这个随即的后缀或者前缀成为“盐”。正如上面给出的例子一样，通过加盐，相同的密码每次hash都是完全不一样的字符串了。检查用户输入的密码是否正确的时候，我们也还需要这个盐，所以盐一般都是跟hash一起保存在数据库里，或者作为hash字符串的一部分。

42、盐不需要保密，只要盐是随机的话，查表，彩虹表都会失效。因为攻击者无法事先知道盐是什么，也就没有办法预先计算出查询表和彩虹表。如果每个用户都是使用了不同的盐，那么反向查表攻击也没法成功。

43、下一节，我们会介绍一些盐的常见的错误实现。

44、常见的错误实现就是一个盐在多个hash中使用或者使用的盐很短。

45、不管是将盐硬编码在程序里还是随机一次生成的，在每一个密码hash里使用相同的盐会使这种防御方法失效。因为相同的密码hash两次得到的结果还是相同的。攻击者就可以使用反向查表的方式进行字典和暴力攻击。只要在对字典中每一个密码进行hash之前加上这个固定的盐就可以了。如果是流行的程序的使用了硬编码的盐，那么也可能出现针对这种程序的这个盐的查询表和彩虹表，从而实现快速破解hash。

46、用户每次创建或者修改密码一定要使用一个新的随机的盐

47、如果盐的位数太短的话，攻击者也可以预先制作针对所有可能的盐的查询表。比如，3位ASCII字符的盐，一共有95x95x95= 857,375种可能性。看起来好像很多。假如每一个盐制作一个1MB的包含常见密码的查询表，857,375个盐才是837GB。现在买个1TB的硬盘都只要几百块而已。

48、基于同样的理由，千万不要用用户名做为盐。虽然对于每一个用户来说用户名可能是不同的，但是用户名是可预测的，并不是完全随机的。攻击者完全可以用常见的用户名作为盐来制作查询表和彩虹表破解hash。

49、根据一些经验得出来的规则就是盐的大小要跟hash函数的输出一致。比如，SHA256的输出是256**ts(32bytes),盐的长度也应该是32个字节的随机数据。

50、错误的方式：双重hash和古怪的hash函数

51、这一节讨论另外一个常见的hash密码的误解:古怪的hash算法组合。人们可能解决的将不同的hash函数组合在一起用可以让数据更安全。但实际上，这种方式带来的效果很微小。反而可能带来一些互通性的问题，甚至有时候会让hash更加的不安全。本文一开始就提到过，永远不要尝试自己写hash算法，要使用专家们设计的标准算法。有些人会觉得通过使用多个hash函数可以降低计算hash的速度，从而增加破解的难度。通过减慢hash计算速度来防御攻击有更好的方法，这个下文会详细介绍。

52、下面是一些网上找到的古怪的hash函数组合的样例。

53、sha1(str_rot13(password+ salt))

54、md5(sha1(md5(md5(password)+ sha1(password))+ md5(password)))

55、注意：这部分的内容其实是存在争议的！我收到过大量邮件说组合hash函数是有意义的。因为如果攻击者不知道我们用了哪个函数，就不可能事先计算出彩虹表，并且组合hash函数需要更多的计算时间。

56、攻击者如果不知道hash算法的话自然是无法破解hash的。但是考虑到Kerckhoffs’s principle,攻击者通常都是能够接触到源码的(尤其是免费软件和开源软件)。通过一些目标系统的密码–hash对应关系来逆向出算法也不是非常困难。

57、如果你想使用一个标准的”古怪”的hash函数，比如HMAC，是可以的。但是如果你的目的是想减慢hash的计算速度，那么可以读一下后面讨论的慢速hash函数部分。基于上面讨论的因素，好的做法是使用标准的经过严格测试的hash算法。

58、因为hash函数是将任意数量的数据映射成一个固定长度的字符串，所以一定存在不同的输入经过hash之后变成相同的字符串的情况。加密hash函数(Cryptographic hash function)在设计的时候希望使这种碰撞攻击实现起来成本难以置信的高。但时不时的就有密码学家发现快速实现hash碰撞的方法。近的一个例子就是MD5，它的碰撞攻击已经实现了。

59、碰撞攻击是找到另外一个跟原密码不一样，但是具有相同hash的字符串。但是，即使在相对弱的hash算法，比如MD5,要实现碰撞攻击也需要大量的算力(computing power),所以在实际使用中偶然出现hash碰撞的情况几乎不太可能。一个使用加盐MD5的密码hash在实际使用中跟使用其他算法比如SHA256一样安全。不过如果可以的话，使用更安全的hash函数，比如SHA256, SHA512, RipeMD, WHIRLPOOL等是更好的选择。

60、正确的方式：如何恰当的进行hash

61、这部分会详细讨论如何恰当的进行密码hash。第一个章节是基础的，这章节的内容是必须的。后面一个章节是阐述如何继续增强安全性，让hash破解变得异常困难。

62、我们已经知道**黑客可以通过查表和彩虹表的方式快速的获得hash对应的明文密码，我们也知道了通过使用随机的盐可以解决这个问题。但是我们怎么生成盐，怎么在hash的过程中使用盐呢？

63、盐要使用密码学上可靠安全的伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator(CSPRNG))来产生。CSPRNG跟普通的伪随机数生成器比如C语言中的rand(),有很大不同。正如它的名字说明的那样，CSPRNG提供一个高标准的随机数，是完全无法预测的。我们不希望我们的盐能够被预测到，所以一定要使用CSPRNG。