简而言之:是的。以第一个示例为例…如果在不添加原始数据的情况下将其反馈给自身,则哈希函数可能会失去熵(我现在似乎找不到引用,我会继续寻找)。
根据记录,我多次支持哈希。
花费500毫秒才能生成的哈希对于您的服务器而言并不太慢(考虑到生成哈希通常不会完成绝大多数请求)。但是,花费这么长时间的哈希将显着增加生成彩虹表所需的时间…
是的,它确实暴露了DOS漏洞,但是它还可以防止暴力攻击(或至少使攻击速度过慢)。绝对需要权衡,但从某些方面来说,收益会超过风险。
整个过程的参考(更像是概述):重点加强
至于退化的碰撞,到目前为止,我唯一能找到的就是这种讨论。
有很多结果。如果您想要更多,请使用Google
hash stretching…那里有大量的有用信息…
