我見過很多關於使用salt和hash來創建可以存儲在數據庫中的密碼的安全版本的文章。安全的網站密碼存儲
但是,有一個問題令我困惑,我看不到問題,所以我想我會在這裏發佈問題,看看其他人是否可以指出這個想法中的任何缺陷。
我的基本想法是生成一個公鑰/私鑰對,然後銷燬私鑰。我對公鑰/私鑰密碼學的理解有限,如果我沒有私鑰,那麼解密用公鑰加密的消息在數學上是不可能的。
我會使用公鑰來加密密碼,然後將加密版本存儲在數據庫中。當有人試圖登錄時,我只需使用公鑰對密碼進行加密,並查看它是否與存儲的密碼相符?
這個想法是否有一些可怕的缺陷?鹽和哈希會以某種方式更安全嗎?
對 - 我現在明白了,所以只要我根據記錄中的數據使用salt生成密碼,那麼這將意味着每個密碼都必須單獨暴力強制,這不會阻止數據被泄露,但會使這樣做非常昂貴。 –