软考题库
信息安全工程师 · 高频练习

密码存储为什么要加盐后再哈希?

中级 单选题 第 298 题 中等 信息安全工程师密码哈希盐值彩虹表
内容整理:软考题库编辑部 最近更新:
题目

某网站不直接保存用户明文密码,而是为每个用户生成随机盐值,将密码与盐值组合后再进行哈希存储。这样做主要是为了()。

A 增加预计算和彩虹表攻击成本,使相同密码也产生不同哈希值
B 让用户以后无需身份认证即可登录
C 保证数据库永远不会被入侵
D 把哈希值还原成明文密码供客服查看
题目类型:原创高频考点题 用途:用于帮助理解信息安全工程师相关考点和答案解析,不等同于官方真题。
书木兰刷题练习 适合懒人、小白的刷题通关平台
正确答案
A
答案解析

密码哈希用于避免直接保存明文密码,加盐则让相同密码在不同用户处产生不同哈希结果,显著增加彩虹表和批量预计算攻击的成本。盐值通常不需要保密,但应足够随机且每个用户不同。实际系统还应使用适合密码存储的慢哈希算法,并配合访问控制和安全审计。

选项分析

A

正确。加盐哈希可以增加彩虹表和预计算攻击成本。

B

错误。加盐哈希不取消登录认证。

C

错误。加盐哈希不能保证数据库不被入侵,只是降低密码泄露后的风险。

D

错误。安全的哈希设计不应支持还原明文密码。

本题为什么容易错

容易把加盐理解成加密。加密理论上可解密,哈希是单向摘要;盐值的作用不是保密,而是让攻击者不能用通用彩虹表轻松匹配。

先看结论

简短答案

密码存储为什么要加盐后再哈希,正确答案是 A(增加预计算和彩虹表攻击成本,使相同密码也产生不同哈希值)。密码哈希用于避免直接保存明文密码,加盐则让相同密码在不同用户处产生不同哈希结果,显著增加彩虹表和批量预计算攻击的成本。盐值通常不需要保密,但应足够随机且每个用户不同。实际系统还应使用适合密码存储的慢哈希算法,并配合访问控制和安全审计。

解析

易混淆概念对比表

概念本题判断区别要点记忆提示
增加预计算和彩虹表攻击成本,使相同密码也产生不同哈希值 本题正确答案 正确。加盐哈希可以增加彩虹表和预计算攻击成本。 看到题干核心场景时优先联想到它
让用户以后无需身份认证即可登录 本题干扰项 错误。加盐哈希不取消登录认证。 看到该词不要急着选,先判断是否真正解决题干问题
保证数据库永远不会被入侵 本题干扰项 错误。加盐哈希不能保证数据库不被入侵,只是降低密码泄露后的风险。 看到该词不要急着选,先判断是否真正解决题干问题
把哈希值还原成明文密码供客服查看 本题干扰项 错误。安全的哈希设计不应支持还原明文密码。 看到该词不要急着选,先判断是否真正解决题干问题
本题易混淆选项怎么区分
  • 让用户以后无需身份认证即可登录:错误。加盐哈希不取消登录认证。
  • 保证数据库永远不会被入侵:错误。加盐哈希不能保证数据库不被入侵,只是降低密码泄露后的风险。
  • 把哈希值还原成明文密码供客服查看:错误。安全的哈希设计不应支持还原明文密码。
复习

知识点详解

彩虹表是信息安全工程师考试中需要结合场景理解的考点。围绕“密码存储为什么要加盐后再哈希”这类题目,复习时要先看题干描述的是概念定义、适用场景、作用效果,还是与其他选项的区别。本题的题干关键词是“某网站不直接保存用户明文密码,而是为每个用户生成随机盐值,将密码与盐值组合后再进行哈希存储。这样做主要是为了()”,它指向的核心答案是 A(增加预计算和彩虹表攻击成本,使相同密码也产生不同哈希值)。

备考速记

备考速记:题干如果强调“彩虹表”中的关键目标,就先联想到 彩虹表;如果选项里出现 让用户以后无需身份认证即可登录、保证数据库永远不会被入侵、把哈希值还原成明文密码供客服查看,不要只看名称熟悉,要判断它们是否真正对应题干场景。

彩虹表在彩虹表场景中的作用

彩虹表在本题中的核心价值,是解决“某网站不直接保存用户明文密码,而是为每个用户生成随机盐值,将密码与盐值组合后再进行哈希存储。这样做主要是为了()”这个场景问题。复习时不要只背选项名称,还要理解它为什么适用于该场景,以及它能解决哪类安全、流程或管理问题。

拓展

同类题怎么考

  • 给出彩虹表场景,判断应该选择哪个概念、工具、协议或管理过程。
  • 考查彩虹表的作用,要求从四个相近选项中找出最符合题干目标的一项。
  • 把彩虹表和让用户以后无需身份认证即可登录、保证数据库永远不会被入侵、把哈希值还原成明文密码供客服查看放在一起考,重点看适用场景是否一致。
  • 题干通常会出现一个关键动作或目标,先定位关键词,再回到选项逐一排除。
彩虹表在信息安全工程师软考中的考法

软考选择题通常不会只考概念定义,还会把彩虹表放到彩虹表场景中,要求判断它的作用、适用范围或与相近概念的区别。遇到这类题时,先抓住题干中的业务场景,再看哪个选项最能解决该场景下的核心问题。

解题思路

题干说每个用户随机盐值,并且相同密码也要得到不同结果。老师讲密码安全时会说,不能让攻击者拿一张提前算好的表,一扫就知道一大片人的密码。

考点定位

密码存储题要分清哈希、加盐、加密。哈希不可逆,加盐防止相同密码哈希相同并提高预计算攻击成本。

易错提醒

  • 所有用户使用同一个固定盐值,防护效果大幅下降。
  • 使用普通快速哈希算法存密码,攻击者可高速暴力猜测。
  • 客服或后台可以查看明文密码,这是严重设计问题。

备考提示

  • 密码存储记住三点:不存明文、每用户随机盐、使用密码专用慢哈希。
  • 看到相同密码不同哈希、彩虹表、预计算攻击,优先想到加盐哈希。

你可能还想了解

  • 密码存储为什么要加盐后再哈希?
  • 彩虹表是什么?
  • 彩虹表在信息安全工程师考试中怎么考?
  • 信息安全工程师彩虹表题怎么理解?
  • 密码加盐哈希为什么能防彩虹表怎么考?
  • 密码为什么不能明文存储怎么考?

本文小结

本题核心考点是彩虹表在彩虹表场景中的判断和应用。遇到类似题目时,先看题干描述的目标,再判断哪个选项最符合场景;本题应选择 A(增加预计算和彩虹表攻击成本,使相同密码也产生不同哈希值)。