你把盐字符串存储在哪里？

彩虹表的作用在于它们是事先创建并大规模分发的，以节省他人的计算时间——生成彩虹表时所需的时间和直接破解密码+盐值组合的时间相同（因为实际上在生成彩虹表时所做的就是预运行暴力破解散列的计算），因此认为知道盐值后就可以“生成彩虹表”的说法是站不住脚的。
只要盐值是基于每个用户独立的，将其存储在单独的文件中就没有真正意义——盐值的作用只是使得一张彩虹表无法破解数据库中的所有密码。

我这里提供一个略有不同的看法。

我总是将盐和经过盐加密的密码哈希值混合存储在一起。

例如，我会将盐的前半部分放在密码盐哈希之前，将盐的后半部分放在密码盐哈希之后。应用程序知道这个设计，因此可以获取这些数据，并获取盐和经过盐加密的密码哈希值。

我的做法理由：

如果密码/哈希数据被攻击者窃取，攻击者无法仅从数据中查看盐。这样，攻击者不能实际执行暴力破解攻击以获取与哈希匹配的密码，因为他不知道哈希值，也无法知道哪些部分是盐的组成部分或经过盐加密的密码哈希值的组成部分（除非他知道您的应用程序身份验证逻辑）。

如果将经过盐加密的密码哈希值存储为原样，那么可以执行暴力破解攻击以获取一个密码，该密码通过盐加密和哈希后产生与经过盐加密的密码哈希值相同的数据。

但是，例如，即使将经过盐加密的密码哈希值存储为原样，但是在前面添加了一个随机字节，只要攻击者不知道这个字节应该被丢弃，这也会增加攻击的难度。您的应用程序会知道在用于身份验证用户时丢弃数据的第一个字节。

得出结论..

1）永远不要以精确形式存储身份验证应用程序使用的数据。

2）如果可能，请保持您的身份验证逻辑保密以提高安全性。

再深入一步..

如果无法保密您的应用程序身份验证逻辑 - 许多人知道数据库中存储数据的方式。并且假设您已经决定将经过盐加密的密码哈希值与盐混合存储在一起，并且部分盐将前缀添加到经过盐加密的密码哈希之前，其余部分将后缀添加到其中。

生成随机盐时，您还可以随机决定存储盐的哈希值之前/之后的比例。
例如，您生成了一个512字节的随机盐。将盐附加到密码上，并获取盐值密码的SHA-512哈希。您还生成了一个200的随机整数。然后，您存储前200个字节的盐，紧接着是盐值密码哈希和剩余的盐。
在验证用户的密码输入时，您的应用程序将遍历字符串，并假定数据的第1个字节是盐的第1个字节，后跟盐的哈希值。此次遍历将失败。应用程序将继续使用数据的前2个字节作为盐的前2个字节，并重复直到在使用前200个字节作为盐的前200个字节后找到正面结果。如果密码错误，则应用程序将继续尝试所有排列，直到没有找到为止。
此方法的优点：
增加安全性-即使您的身份验证逻辑已知，编译时也不知道确切的逻辑。即使具有确切逻辑的知识，进行暴力攻击也几乎是不可能的。更长的盐长度将进一步增加安全性。
此方法的缺点：
由于在运行时推断出确切的逻辑，因此这种方法非常消耗CPU。盐的长度越长，这种方法就变得越耗费CPU。
验证不正确的密码将涉及最高的CPU成本。这可能会对合法请求产生反作用，但可以增加对攻击者的安全性。
此方法可以以各种方式实现，并且可以通过使用可变宽度的盐和/或盐值密码哈希来使其更加安全。

通常情况下，它们会被预先添加到哈希中并存储在同一字段中。没有必要单独存储它们-关键是针对每个密码使用随机盐，以便不能使用单个彩虹表攻击整个密码哈希集合。使用随机盐，攻击者必须逐个暴力破解每个哈希值（或计算所有可能盐的彩虹表-这需要更多的工作）。如果您有更安全的存储位置，那么仅在那里存储哈希值就是有意义的。

根据William Penberthy的《Developing ASP.NET MVC 4 Web Applications》书籍：
1. 获取存储在单独数据库中的盐需要黑客入侵两个不同的数据库才能访问盐和被盐加密的密码。将它们存储在与密码相同的表中，甚至是同一数据库的另一个表中，这意味着当黑客获得对数据库的访问权时，他们将可以访问到盐和密码哈希值。因为安全性包括使黑客进入系统变得不值得付出太多代价或时间，所以增加黑客获取访问权限的次数应该可以使系统更加安全。
2. 简易使用是将盐保存在与散列密码相同的数据库中的主要原因。您不需要确保两个数据库始终可同时使用且始终同步。如果每个用户都有随机盐，则具有盐的优点很小，因为虽然它可能使发现单个用户的密码更容易，但破解整个系统的密码所需的工作量会非常大。在此级别的讨论中，这真的是期望的内容：保护密码。如果黑客已经获取了数据库的副本，则您的应用程序数据已经存在危险。此时，问题是减轻用户由于共享密码可能带来的风险。
3. 维护两个单独链接的数据库的要求非常广泛。诚然，它增加了安全感，但唯一的优点是保护密码，即单个数据元素。如果数据库中的每个字段都被分别加密，并且使用相同的盐进行加密，则将其与数据分开存储会更有意义，因为这可以提高系统的基本安全性。

如果您使用一个库（或自己制作的库）来使用固定大小的字符串作为盐值，那么您可以将盐值和哈希密码存储在同一字段中。然后，您需要拆分存储的值以检索盐和哈希密码以验证输入。
对于一个10个字符长度的盐值和40个字符长度的固定哈希大小，应该是这样的：

salt = "california"
passwd = "wp8tJ4Pr"

stored_passwd = salt + hash(passwd + salt)

salt = substr(stored_passwd, 0, 10)
hashed_passwd = substr(stored_passwd, 10, 40)

if hash(user_input + salt) == hashed_passwd:
    print "password is verified"

盐的整个目的是防止使用预先计算的表（例如彩虹表）进行密码攻击，因此将盐与哈希密码一起存储实际上是无害的。

盐的作用是使所有彩虹表无效，并需要制作一个新的彩虹表。猜测字符串和制作彩虹表需要同样长的时间。例如，"password" 的 SHA-256 哈希值为 "5e88 4898 da28 0471 51d0 e56f 8dc6 2927 7360 3d0d 6aab bdd6 2a11 ef72 1d15 42d8"。添加盐后，如 "badpassword"，要进行哈希的新字符串是 "passwordbadpassword"，由于雪崩效应，它会显着改变输出，变为 "457b f8b5 37f1 802e f9c8 2e46 b8d3 f8b5 721b 7cbb d485 f0bb e523 bfbe 73e6 58d6"。通常，盐只存储在与密码相同的数据库中，也因为如果一个数据库被黑客攻击，另一个数据库也可能会被攻击。

为什么要使用盐来防止彩虹表攻击？恶意用户以某种方式访问数据库并查看散列密码，获取最常见密码的表格，找到其哈希值并在表格中查找密码。

因此，当用户发送密码时，我们会将随机生成的盐添加到密码中。

 userPassword + salt

然后我们将其传递给我们的哈希算法。

 hash(userPassword+salt)

由于盐值是随机生成的，userPassword+salt 成为一个随机值，绝对不是最常用的密码之一。因此，恶意用户无法通过检查彩虹表来找出使用的密码。

现在，盐值被添加到哈希值前面，因为当用户登录时，它会再次使用，以比较传递的凭据和保存的凭据。

 hash(userPassword+salt)=ashdjdaskhfjdkhfjdashadslkhfdsdh

这是密码在数据库中的存储方式：ashdjdaskhfjdkhfjdashadslkhfdsdh.salt

现在，如果恶意用户看到了这个，他可以破解密码，但需要花费巨大的时间。因为每个密码都会得到一个不同的盐值。假设恶意用户有一个包含5000个常见密码及其哈希值的表。

重要的一点是，恶意用户不只有一个表。因为有太多不同的算法，所以恶意用户将为每种算法拥有5000个密码的哈希值。

现在对于每个密码，假设他从第一个用户的密码开始，他将把那个盐值添加到5000个常见密码中，并为每个不同的算法创建一个新的彩虹表来查找仅1个密码。然后对于第二个用户的密码，他将看到一个不同的盐值，他将计算新的彩虹表。甚至不能保证用户的密码会在这些常见密码列表中。