那些遇到过的问题

传输前哈希密码?(网站)

wag*_*639 4 passwords

我正在阅读这篇关于密码安全的Ars文章,它提到有些网站"在传输前散列密码"?

现在,假设这不使用SSL连接(HTTPS),a.这实际上是安全的吗?如果它是如何在一个安全的庄园做到这一点?

编辑1 :(基于前几个答案的一些想法)

C.如果您在传输之前对密码进行哈希处理,如果您只在用户凭据数据库中存储密码的盐渍哈希版本,那么如何使用密码?

d.只是要检查,如果您使用的是HTTPS安全连接,那么这是必要的吗?

SLa*_*aks 5

只有在服务器发送不可重用的盐时(当然,如果您使用安全散列),这才是安全的.

否则,攻击者可以简单地嗅探用户哈希,然后重放哈希以用户身份登录.

请注意,登录容易受到中间人攻击.

归档时间:

查看次数:

1114 次

最近记录:

16 年 前
相关归档
在Filezilla中恢复已保存的密码 23
如何安全地清除std :: string? 17
增加登录时间延迟停止强制执行,好主意? 13
将密码从Drupal 7迁移到Django 10
在站点之间传递凭据 5
PHP密码盐真的有必要吗? 3
nodejs-如何比较bcrypt的两个哈希密码 2
在PHP中更新旧的存储的md5密码以提高安全性 1
破解密码的最佳循环 0
最安全的存储用户名/密码、配置文件、python 0
难疑归档
Java中的public,protected,package-private和private有什么区别? 3004
确定已安装的PowerShell版本 2543
如何在JavaScript中将字符串转换为布尔值? 2328
JavaScript切断/切片/修剪字符串中的最后一个字符 1840
为什么模板只能在头文件中实现? 1660
将存储过程的结果插入临时表 1526
<meta charset ="utf-8"> vs <meta http-equiv ="Content-Type"> 1499
为什么我需要一直做`--set-upstream`? 1364
为什么自闭脚本标签不起作用? 1284
哪些字符在CSS类名/选择器中有效? 1171