如何解决每次用户登录并覆盖原始密码时,重新对其进行密码处理是否有用?
| 用户输入密码,然后提交登录表单。密码发送到服务器,运行身份验证,并且哈希密码与数据库中存储的密码匹配。 这就是我想知道的发挥作用的地方。我想知道的是,这种情况是否有用: 然后,使用新的随机盐重新加密用户的密码,并覆盖数据库中存储的原始哈希。下次用户登录时,他们仍然输入完全相同的密码,但是正在检查其他哈希。 请让我知道这是否是一种更安全的密码哈希方法。 编辑 我写这个问题的能力很差。...我一直在研究使非SSL登录脚本更安全的方法,并且想到了使用javascript在通过发布数据发送密码之前对密码进行哈希处理的想法。这让我很不高兴,除非黑客拦截散列的帖子数据是毫无意义的,因为从那时起,他就可以使用散列发送伪造的帖子数据。我必须考虑每次都用新的盐重新散发通行证,因此黑客每次想要访问该用户的帐户时都必须不断重新嗅探该连接。 这样,在受害者的计算机上没有按键记录器或某种客户端软件的情况下,黑客将无法访问客户端的密码,因此只能一次访问一个会话,用户登录后,哈希将发生变化,当用户再次登录以获取新哈希时,黑客必须一直在监听。解决方法
我在这里看到的唯一区别是数据库中的盐渍哈希值会定期更改。
因此,以某种方式设法读取数据库的每个攻击者都将拥有另一组哈希值供暴力破解。但是,当散列之一被破坏时(例如,您找到了一个与salt一起给出给定哈希值的密码),它很可能是原始密码,即使数据库中的salt和hash发生变化,它也将继续起作用。后来。
因此,这里的安全性没有变化。
, 我不确定这是否会使它更安全。如果黑客试图强行强制用户的登录,那么什么MD5 / SHA1或存储在数据库中的内容都不重要。重要的是每次身份验证尝试需要多长时间,并且您的密码已加密和加密。您仍然必须在数据库中存储新的\'random \'盐,或者使它从数据库的字段中派生出一些方式。确保使用键扩展(加强),每次登录尝试花费1或2秒就足够了。显然,(通过SQL注入,服务器中的漏洞利用等)使黑客无法访问计算机或获取加密密码。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。