wag*_*639 4 passwords
我正在阅读这篇关于密码安全的Ars文章,它提到有些网站"在传输前散列密码"?
现在,假设这不使用SSL连接(HTTPS),a.这实际上是安全的吗?如果它是如何在一个安全的庄园做到这一点?
编辑1 :(基于前几个答案的一些想法)
C.如果您在传输之前对密码进行哈希处理,如果您只在用户凭据数据库中存储密码的盐渍哈希版本,那么如何使用密码?
d.只是要检查,如果您使用的是HTTPS安全连接,那么这是必要的吗?
SLa*_*aks 5
只有在服务器发送不可重用的盐时(当然,如果您使用安全散列),这才是安全的.
否则,攻击者可以简单地嗅探用户哈希,然后重放哈希以用户身份登录.
请注意,登录容易受到中间人攻击.
归档时间:
15 年,9 月 前
查看次数:
1114 次
最近记录: