使用多种算法进行密码哈希处理

这只能帮助减少冲突的可能性。正如您所提到的，有几个缺点（最大的弱点之一）。

如果目标是减少冲突的可能性，最好的解决方案就是使用单个安全算法（例如bcrypt）和更大的哈希值。

现代哈希算法不需要担心碰撞问题。重点不在于确保数据库中每个哈希都是唯一的，而是确保在数据库被盗或意外泄漏时攻击者难以确定用户的实际密码。现代哈希算法错误地识别“错误”密码为“正确”密码的概率几乎为零，这可能更符合您的想法。
明确一点，你可能关注碰撞的两个主要原因是：
1. “正确”密码与提供的“错误”密码之间的碰撞可能允许使用“错误”密码进行认证。 2. 两个用户密码之间的碰撞可能会泄露用户A的密码，如果已知用户B的密码。
关注点1是通过使用强大/现代哈希算法（并避免极其反智的事情，如仅基于密码哈希查找用户记录）来解决的。关注点2是通过适当的加盐来解决的-即每个密码的“长度”唯一盐。让我强调一下，仍然需要正常加盐。
但是，如果将哈希添加到混合中，那么您只是给潜在攻击者提供了更多信息。我不确定是否当前存在任何已知的方法可以从一对哈希中“三角测量”消息数据（密码），但是通过包含另一个哈希，您不会获得显着的收益。这不值得冒险，因为可能存在一种利用额外信息的方法。

回答你的问题：
拥有唯一的salt比使用通用的salt更好。H（S1 + PW1），H（S2 + PW2） 使用多个算法可能比使用单个算法更好 H1（X），H2（Y）（但可能不是，正如svidgen所提到的那样）
然而，
这个问题的精神有些错误，原因如下：
1. 您不应该在没有安全专家的指导下自己设计安全协议。我知道这不是您自己的算法，但大多数安全问题都是由于错误使用而起的；算法本身通常是无懈可击的。
2. 您不应该使用hash（salt+password）来存储数据库中的密码。这是因为哈希是为了速度而设计的，而不是为了安全。在今天的硬件（特别是GPU处理）上找到旧算法中的哈希冲突有点容易。当然，您可以使用新的安全哈希算法（SHA-256或SHA-512），其中碰撞不是问题——但为什么要冒险呢？
你应该研究基于密码的密钥派生函数(PBKDF2)，它们被设计成慢一些，以防止这种类型的攻击。通常需要结合加盐、安全哈希算法（SHA-256）并迭代几十万次。让函数运行大约需要1秒对于用户登录来说不是问题，他们不会注意到这样的减速。但对于攻击者来说，这是一场噩梦，因为他们必须针对每个尝试执行这些迭代；显着地减缓了任何暴力攻击。

看一下支持PBKDF加密的库可能是更好的方法。 Jasypt 是我最喜欢的用于Java加密的库之一。

请查看相关安全问题：如何安全地哈希密码 以及这个松散相关的SO问题

在密码哈希中添加盐可以防止使用通用预先构建的哈希表。攻击者将被迫基于他们的单词列表和您的随机盐生成新表。

如上所述，哈希是为了快速设计的。要将它们用于密码存储，您需要减慢它们（大量嵌套重复）。

您可以创建自己的专用于密码的哈希方法。实质上，在salt+password上嵌套您喜欢的哈希并进行递归。

string MyAlgorithm(string data) {
  string temp = data;
  for i = 0 to X {
    temp = Hash3(Hash2(Hash1(temp)));
  }
}
result = MyAlgorithm("salt+password");

其中，“X”是大量重复的次数，足以在良好硬件上至少需要一秒钟的时间。正如其他地方提到的那样，这种延迟的目的是对于普通用户来说不重要（他们知道正确的密码并且只需等待一次），但对于攻击者来说却很重要（他必须为每个组合运行此过程）。当然，这都是为了学习而做的，可能更简单的方法是使用适当的现有API。