我甚至不知道在這裏問什麼問題。我的問題陳述很簡單:我需要使用salt在數據庫上存儲密碼,根據存儲的密碼驗證輸入的密碼,並在用戶嘗試登錄時使用隨機挑戰字驗證密碼。我使用的是php/javascript。如何驗證和驗證密碼?
在試圖解決這個問題時,我遇到的問題是,如果我在html表單中傳遞一個質詢詞,然後將輸入的密碼與該詞進行哈希,我可以在服務器上驗證密碼,但是我不能將密碼與質詢詞分開,以便我可以根據DB上的醃製密碼對其進行驗證。如果我以明文方式將密碼發送到服務器,或者在沒有提示字的情況下發送密碼,我可以驗證它,但現在我無法可靠地對其進行身份驗證。
我想我需要某種形式的2路算法,這樣我就可以一鍵加密,然後在驗證密碼進行驗證的關鍵。我該怎麼做?或者如果它不能完成那麼我該怎麼做?
要清楚,隨機挑戰是爲了在運輸過程中保護密碼?或者是一種認證機制來證明他們是人類或類似的? –
爲了解決這個問題,我查看了一個名爲「Geeklog - 安全CMS」的PHP博客的源代碼。瞧,他們發送他們的用戶密碼是免費和清晰的,他們使用服務器上的MD5來「編碼」密碼。所以也許我的問題應該是「我應該使用鹽和質詢詞來實現密碼驗證和認證的類型的系統?」 – James
也phpBB似乎發送密碼自由和明確。我想我一直在想這個問題。 – James