0
,用戶密碼必須存儲爲散列而不是加密,因爲攻擊者無法從其散列中推導出密碼,而他可以推導出密碼從它的加密中,如果他能夠訪問加密密鑰。據我所知,每個系統或服務器如何獲得不同的散列函數來存儲密碼
現在,顯然每個系統都必須使用不同的散列函數來散列其密鑰。我的問題是,他們如何創建這些不同的散列函數?他們是否使用標準哈希函數並用大鍵來填充它?如果是這樣,如果攻擊者能夠訪問該密鑰,那麼攻擊者是否能夠推斷密碼,使其與加密一樣?
A
回答
0
現在,很明顯每個系統必須使用不同的散列函數哈希其鍵
不,他們沒有。
如果你的密碼是s3cr3t,那麼它將具有相同的哈希值在很多服務器的數據庫中,遺憾的是可能A4D80EAC9AB26A4A2DA04125BC2C096A
的方式,使這個吸吮少是生成每個口令的隨機碼,所謂的鹽,這樣的s3cr3t在服務器1散列很可能會比s3cr3t Server2上的哈希不同:hashFunction('s3cr3t' + 'perUserSalt')
使用bcrypt,scrypt,或只使用PBKDF2密碼存儲。
1
加密哈希函數總是不可逆的,這是他們的目的。即使灰心的「不安全」的功能,如MD5和SHA1是不可逆的,他們不需要鑰匙。問題在於,你可以通過暴力破解找到可能的匹配密碼(超過10 Giga MD5/sec)。
你提到的「大關鍵」可能是鹽。您會生成隨機鹽並在計算中使用此鹽。將此鹽與散列一起存儲是安全的,因爲它的目的是防止攻擊者構建一個單獨的彩虹表並一次爲所有密碼查找匹配項。相反,他必須分別爲每種鹽建立一個彩虹桌,這些桌子是不可行的。
速度問題只能通過迭代散列函數來克服。成本因素定義了計算散列的次數。推薦的算法是BCrypt,PBKDF2和SCrypt。
相關問題
- 1. 不同服務器上的密碼散列方式不同
- 2. 簡介的圖片存儲數據庫或服務器系統
- 3. 數據源的密碼如何存儲在WSO2數據服務服務器中?
- 4. 如何在java中使用散列函數來散列密碼?
- 5. 我可以存儲散列密碼嗎?
- 6. 如何在數據庫中存儲鹽漬散列密碼
- 7. 如何在數據庫中存儲散列密碼
- 8. 使用含鹽的散列在數據庫中存儲密碼;不知道在哪裏/如何存儲鹽
- 9. 散列函數加密 - 數據庫如何知道密碼是否正確?
- 10. 用bcrypt遷移系統散列密碼
- 11. 我如何獲得現在顯示的所有系統通知?
- 12. 我們如何獲得使用java的系統密碼?
- 13. 密碼散列函數
- 14. 散列密碼時,我應該將散列函數名稱存儲在數據庫中嗎?
- 15. 存儲無法在服務器應用程序中進行散列的密碼
- 16. 如何從服務器得到結果來自於windows系統的服務器
- 17. 如何保護我的mysql_connect密碼(我的數據庫服務器的密碼)?
- 18. 根據調用環境,我們如何獲得相同的存儲過程代碼來調用不同的數據庫服務器?
- 19. c#驗證存儲在SQL數據庫中的散列密碼
- 20. MySQL-如何實現服務器端密碼散列
- 21. 我的系統如何知道根名稱服務器?
- 22. 使用MD5和密碼散列函數在數據庫中存儲時
- 23. ASP.NET:SHA1 +多個服務器上的鹽密碼散列
- 24. 如何獲得服務器端語言的散列?
- 25. 如何使用函數來散列密碼<user_hash_password>
- 26. 在MySQL中存儲散列密碼
- 27. 使用yii存儲密碼爲散列
- 28. 2FA密碼應該散列存儲嗎?
- 29. asp.net:存儲密碼散列算法
- 30. 如何存儲JDBC服務器,數據庫,用戶名和密碼在NotesDocument的
請在發佈「新」問題之前搜索Internet和StackOverflow存檔。 – Prune
我正在投票結束這個問題,因爲這不是關於編程。 [security.se]更適合這類問題。請事先查看其他問題。 –
不要混淆加密和哈希。這是兩種不同的方法。提示:迭代哈希函數採用隨機鹽。 –