CWE-760 使用可预测Salt的单向哈希算法 类漏洞列表 5

CWE：CWE-760 使用具有可预测 Salt 的单向哈希 英文：该产品对不应被逆向的输入（如密码）使用单向密码学哈希，但该产品在输入中使用了可预测的 Salt。 这使得攻击者更容易使用字典攻击技术（如彩虹表）预先计算哈希值，从而有效地使不可预测的 Salt 所提供的保护失效。需要注意的是，尽管存在普遍看法，但哈希使用良好的 Salt 并不能充分增加针对单个密码的攻击者的工作量，或者对于拥有大量计算资源（如基于云的服务或专用、廉价硬件）的攻击者而言也是如此。如果哈希函数的计算成本不高，离线密码破解仍然可能有效；许多密码学函数被设计为高效运行，即使哈希在密码学上是强大的，也可能因使用大规模计算资源的攻击而变得脆弱。与其他策略（如自适应哈希函数）相比，使用 Salt 仅略微增加了攻击者的计算需求。有关更多详细信息，请参阅 CWE-916。