未鹽化的密碼比明文好不了多少

LinkedIn 六百五十萬未鹽化（unsalted）SHA1加密密碼泄露，安全專家認為未鹽化的密碼比明文沒好多少。

人類不擅長挑選和記錄強密碼，假如一個系統有許多用戶，那么很有可能會有多位用戶使用相同的密碼，而相同的密碼通常意味著是弱密碼，如果攻擊者在數據庫里看到了這些相同的哈希加密密碼，他們完全可以對其進行暴力破解嘗試。這個問題早在三十年前已經解決了：為了確保數據庫儲存的密碼不相同，系統可以隨機選擇一個數字或字符鹽化。因此相同的密碼不會有相同的哈希值，而攻擊者如果要發現隨機數或字符生成模式，他將需要暴力破解大量密碼。