小编Joh*_*ald的帖子

我正在使用C#开发一个客户端应用程序,它将与服务器(php页面)进行通信以获取凭据和一些关键服务.我想知道在客户端的机器上存储一个良好的哈希密码是否危险？通过"well hashed",我的意思是使用一个众所周知的安全散列函数随机种子.出于本讨论的目的,假设源是免费提供的(因为所有二进制文件都可以进行逆向工程).

我的想法是,我会在用户的计算机上存储用户名和散列密码,并且该用户名和散列将以纯文本形式通过未加密的http连接发送到服务器以进行验证.这当然不会阻止黑客在不知道源密码的情况下使用别人的用户名和密码哈希(通过一些代码调整).

1. 恶意个人是否能够使用散列密码和用于生成散列的代码执行任何操作？(如果他们获得此信息,则以其他用户身份登录)
2. 如果黑客无权访问源密码,其他客户端应用程序如何防止一个用户以其他用户身份登录？(例如Steam)
3. 是否有一个简单,便宜(成本和时间),更安全的方式来处理这个？

黑客如何使用我当前的逻辑欺骗别人的登录凭据的示例:

1. Legit用户首次登录,凭据存储
2. 黑客获得对文件系统的访问权限,查找用户名和哈希密码
3. 黑客修改源代码(或使用代码注入)来发送获取的用户名和散列密码,而不是程序通常会执行的操作

我正在制作的产品不会成为下一个ebay,facebook或stackexchange,并且预算很低.我不需要一些顶级的东西,并且不关心盗窃,因为我计划使用"支付你想要的"模型.我主要是为了好奇而发布这个.