问盐类是与散列一起存储的，所以对于单个用户来说，它没有安全性优势？

EN

salt的目的是防止使用基于已知哈希算法计算的彩虹表。

回到过去，当密码只是使用MD5来存储时(例如)，攻击者将能够将所有哈希与预先计算的MD5彩虹表进行比较，从而非常迅速地找到密码。另外，这张彩虹表可以在所有使用哈希算法的地方使用。

但是，如果哈希是从密码加随机盐计算出来的，彩虹表就变得无用了。即使已知salt，攻击者必须首先了解salt，然后返回蛮力，并结合该salt计算所有密码散列，这需要很长时间。由于每个密码都使用不同的盐进行散列，因此必须对每个密码重复这些计算。

因此，是的，对于单个用户来说，这是一个安全优势。你说“黑客只需计算1亿个普通密码+ 21022011和它们的哈希”，但这正是攻击者花费如此昂贵的原因。简单并不一定意味着便宜。

即使对一个目标用户来说，salt对合法用户仍然具有安全优势，在密码数据库的机密性丢失时：

1. 攻击者在得到数据库之前无法发动攻击。因此，salt为合法用户购买时间，后者有机会在攻击期间更改他们的密码。这是少数几个定期更改密码的好理由之一。
2. 攻击者不能希望用相同的散列来摊还他们在其他攻击上花费的计算能力。因此，salt增加了重复攻击者的成本，这反过来又使用户不那么不安全。

当今实践的主要问题是，像PBKDF2这样的迭代散列通常被使用，这是带有GPU、FPGA或(假设的)ASIC的攻击者的梦想:它们的散列速度比合法服务器的速度快得多，以至于用户可以以合乎经济意义的代价破解大多数用户会选择的密码。

为了说明这一点:在比特币挖掘ASIC中，2^{61}>2\cdot10^{18}附加SHA-256散列的当前成本低于一美元；如果这些ASIC可用于PBKDF2-HMAC-SHA-256攻击(它们不能AFAIK，但它们距离不远)，这意味着在PBKDF2中使用10^5迭代测试10^{13}附加密码(我听说的最大密码是常用的)将花费一美元，并找到最常见的密码，包括XKCD推荐的密码。

我建议删除PBKDF2并使用像Argon2这样的内存_硬性密码哈希，使用足够多的硬参数来降低此类攻击的可能性。

此外:密码数据库的保密应该是第一道防线，也是一个强大的防线。