如何解决添加帐户时,如何强制执行密码规则,只有密码的哈希值?
当客户端发送单向哈希时,我如何在后端强制执行新的密码规则(例如“最少 12 个字符”)?如果我使用双向加密,客户端将需要密码,这似乎违背了目的。我正在使用加盐哈希以防有人拦截消息,但他们不能也拦截密码吗?这似乎是一个 catch-22。
...但我想不出更好的了。我发送了一个一次性密码(我认为它通过 SSL 相当安全),然后在后端解密密码并运行我的检查。
专家是如何处理的?提前致谢。
解决方法
如果您使用 up2date 默认策略,则 TLS 是安全的。 以明文形式发送密码并在服务器上散列它们不是问题。这实际上是大多数应用程序所做的,即使是大型网站。
当前端已经使用安全散列算法(例如 argon2)时,您无法在后端强制执行密码规则。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。