使用盐的想法是让暴力破解密码比普通的基于字符的密码更难猜中。彩虹表通常是用一个特殊的字符集构建的，并不总是包括所有可能的组合(尽管它们可以)。

所以一个好的salt值应该是一个随机的128位或更长的整数。这就是彩虹表攻击失败的原因。通过为每个存储的密码使用不同的salt值，还可以确保为一个特定的salt值构建的rainbow表(如果您是一个具有单一salt值的流行系统，可能会出现这种情况)不会让您一次访问所有密码。

盐会导致彩虹表攻击失败的原因是，对于n位盐，彩虹表必须比没有盐的表大2^n倍。

你使用“foo”作为盐的例子可以使彩虹表变大1600万倍。

以卡尔的128位盐为例，这使表变大了2^128倍，这很大了，换句话说，要多久才会有人有这么大的便携式存储器?

据我所知，盐是为了使字典攻击更加困难。

众所周知，许多人会使用常见的单词作为密码，而不是看似随机的字符串。

因此，黑客可以利用这一点，而不是仅仅使用蛮力。他不会找像aaa, aab, aac这样的密码……而是使用单词和常用的密码(比如指环王的名字!,))

所以如果我的密码是Legolas，黑客可以尝试一下，并通过“几次”尝试来猜测它。但是，如果我们对密码加盐，它就变成了fooLegolas，哈希值就会不同，所以字典攻击就会不成功。

希望有帮助!

其他答案似乎并没有解决你对这个话题的误解，所以下面是:

盐的两种不同用途

我看过很多教程，建议盐可以这样使用: $hash = md5($salt.$password) […] 我看到的另一种用法是在我的linux系统上。在/etc/shadow中，散列密码实际上与salt一起存储。

您总是必须将salt与密码存储在一起，因为为了验证用户根据密码数据库输入的内容，您必须将输入与salt结合起来，对其进行哈希，并将其与存储的哈希进行比较。

哈希的安全性

现在有一张彩虹表的人可以反向哈希，得到输入“foobar”。 […] 因为te5SBM的反向哈希。已知7C25fFDu6bIRbX包含“foo”。

这样反转哈希是不可能的(至少在理论上是这样)。“foo”的哈希和“saltfoo”的哈希没有任何共同之处。即使在加密哈希函数的输入中改变一个比特，也会完全改变输出。

这意味着你不能用普通密码构建一个彩虹表，然后用一些盐“更新”它。你必须从一开始就把盐考虑进去。

这就是为什么你首先需要一张彩虹桌的全部原因。因为您无法从哈希中获得密码，所以您将预先计算最有可能使用的密码的所有哈希值，然后将您的哈希值与它们的哈希值进行比较。

盐的质量

但是输入$salt=foo

“foo”是一个非常糟糕的盐选择。通常你会使用一个随机值，用ASCII编码。

此外，每个密码都有自己的盐，(希望)不同于系统上的所有其他盐。这意味着，攻击者必须单独攻击每个密码，而不是希望其中一个哈希值与数据库中的一个值匹配。

这次袭击

如果黑客以某种方式拿到了这份文件，我不明白盐有什么用，

彩虹表攻击总是需要/etc/passwd(或任何使用的密码数据库)，否则如何比较彩虹表中的哈希值和实际密码的哈希值?

至于目的:假设攻击者想要为10万个常用英语单词和典型密码(想想“秘密”)构建一个彩虹表。如果没有盐，她将不得不预先计算10万个哈希值。即使使用2个字符的传统UNIX salt(每个字符都是64个选项之一:[a-zA-Z0-9. /])，她也必须计算和存储4,096,000,000散列…相当大的进步。

又是一个很好的问题，有很多非常周到的答案——+1到SO!

我没有看到明确提到的一点是，通过向每个密码添加随机盐，实际上可以保证碰巧选择相同密码的两个用户将产生不同的哈希值。

为什么这很重要?

想象一下美国西北部一家大型软件公司的密码数据库。假设它包含30,000个条目，其中500个的密码为蓝屏。进一步假设，黑客设法获得了该密码，比如从用户发给it部门的电子邮件中读取该密码。如果密码是未加盐的，黑客可以在数据库中找到散列值，然后简单地对其进行模式匹配，以获得其他499个帐户的访问权。

加密密码可以确保500个帐户中的每个帐户都有唯一的(salt+密码)，为每个帐户生成不同的散列，从而将漏洞减少到单个帐户。让我们希望(尽管可能性不大)，任何天真到在电子邮件消息中编写明文密码的用户都无法访问下一个操作系统的未记录的API。

盐的一个目的是打败预先计算的哈希表。如果某人有一个包含数百万预计算哈希值的列表，他们将无法查找$1$foo$te5SBM。7C25fFDu6bIRbX1在表中尽管他们知道哈希和盐。他们还是要用蛮力。

另一个目的，正如Carl S提到的，是使暴力强制哈希列表更加昂贵。(给它们不同的盐)

即使盐是公开的，这两个目标仍然可以实现。