-1
我聽說所有這些網站被SQL注入和黑客入侵。什麼阻止他們用32個字符的字符串加密哈希?如果我是黑客,並且設法獲取數據庫,並且遇到加密哈希,我無法對數據庫執行任何操作,因爲我不知道加密算法和密鑰。爲什麼Web開發人員不這樣做與數據庫?
只要密鑰存儲在securly所有人帳戶將是安全的。
A
回答
1
您對加密散列的想法確實會提高用戶密碼的安全性,但您應該瞭解您正在使用此度量解決什麼問題,以及哪些問題沒有解決。
首先也是最重要的是,密碼的加密通常是不被接受的,因爲它是一種弱保護。如果攻擊者擁有密鑰,他可以立即發現所有密碼。因此,加密並不能緩解您使用像BCrypt,SCrypt,PBKDF2或Argon2這樣的慢速算法對密碼進行正確散列。
但你的問題是關於加密散列的。有一種情況,即使正確哈希和鹽漬密碼可以很容易地恢復。如果用戶選擇了一個非常弱的密碼,那麼字典攻擊無論如何都會很快顯示出來。如果哈希已加密,攻擊者需要密鑰才能開始字典。這導致我們遇到以下情況:
只要密鑰保密,加密哈希將保護弱密碼。當攻擊者在服務器上沒有特權時,情況總是如此,例如SQL注入,被忽視的服務器,備份......我在我的教程末尾描述了safely storing passwords。
相關問題
- 1. (Java)開發人員爲什麼會這樣做?
- 2. 爲什麼數據庫開發人員會使用LINQ
- 3. 什麼是一本介紹數據庫爲web開發人員的好書
- 4. 爲什麼不這樣做?
- 5. 爲什麼PHP開發人員比.NET開發人員便宜?
- 6. 什麼jQuery庫這樣做?
- 7. SQLite數據庫(爲什麼要這樣做?)
- 8. 新數據庫sql開發人員
- 9. Oracle數據庫開發人員副本
- 10. 作爲一個Web開發人員,RFC的好處是什麼?
- 11. 作爲Web開發人員需要了解什麼?
- 12. 爲什麼Java設計人員不這樣做---新的ArrayList(「1」,「2」)
- 13. 爲什麼bundler這樣做?
- 14. 爲什麼XmlSerializer.Order這樣做
- 15. 爲什麼ideone.com這樣做?
- 16. 將文本框綁定到數據庫(C#Web開發人員)
- 17. 開發人員應在開發人員數據庫實例中擁有什麼權限
- 18. web開發人員2010
- 19. 開發人員Web代理
- 20. 桌面開發人員成爲Web開發人員的正確材料是什麼?
- 21. 這是爲什麼這樣做呢?
- 22. 這個http-server爲什麼這樣做?
- 23. 測試人員做什麼?
- 24. 開發人員需要做些什麼來適應雲環境
- 25. VS2008如何從Web開發人員更改爲C#開發人員設置
- 26. C++發生結構錯誤,爲什麼不允許這樣做?
- 27. 爲什麼開發人員不能抽菸測試?
- 28. 爲什麼Apache ActiveMQ對.NET開發人員不利?
- 29. 爲什麼Oracle SQL開發人員不會啓動調試器?
- 30. 更改爲SQL開發人員中的其他數據庫
如果您可以安全地存儲密鑰,只需安全地存儲數據。 – Blorgbeard
避免讀取安全密碼散列的執行將會很有用。採用(可逆)加密技術,整個系統只與密鑰一樣安全;適當使用密碼散列法使得(強)密碼在合理時間內恢復'不可行',而不管某個'祕密'密鑰。這就是說,沒有任何東西可以排除額外的防禦層。而且:如果攻擊者發現了一些寫入權限 - 您已經丟失了。 – user2864740
請參閱Security Stackexchange上的[如何安全地哈希密碼,理論](http://security.stackexchange.com/questions/211/how-to-securely-hash-passwords/31846#31846)。 請參閱OWASP(Open Web Application Security Project)[密碼存儲備忘單](https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet#Leverage_an_adaptive_one-way_function)。 查看[現代,安全,鹹味密碼哈希簡單](https://paragonie.com/blog/2016/02/how-safely-store-password-in-2016#legacy-hashes) – zaph