许多网站(我的头顶:GMail和我使用的银行)都有一个安全措施,可以选择您所选择的密码; 例如,选择"mypassword"将被归类为不安全.
但是,在我自己的应用程序中,我正在实现基于随机数和其他用户特定字符串的哈希码的用户特定盐.当然,这会使密码分类(如上所述)成为字典攻击的有效威慑手段,这是多余的吗?
我对吗?为什么谷歌和其他大型网站都在为密码分类烦恼?他们不打扰用户特定的盐吗?
不不不不.
密码哈希+ salting和强密码解决了两个完全不同的问题:
密码散列和salting确保很难从内部存储的数据中找到原始密码.这对于减轻数据泄露非常有用:攻击者确实拥有用户名,但没有密码或其易于恢复的哈希值.
强密码,仍需要对外部攻击者-以最简单的形式,一个脚本刮你的登录表单,并尝试最常用的密码-如password,letmein,mypassword,12345,等.
正如您所看到的,这些问题根本不重叠:弱密码(hello)对外部威胁仍然不安全,无论您在后端对它们进行多少次哈希处理.其他问题也适用:如果您已成功使用密码登录Piskvor 12345,则很可能这也是我的银行,电子邮件和行李的密码.