0
出於好奇,我想知道爲什麼Web應用程序通常會使用用戶ID和密碼。爲什麼只使用webApps userID +密碼而不是密碼?
我沒有看到原因,爲什麼足夠長的密碼不適合。例如,由服務器應用程序生成的密碼。
應用程序最終是否還有使用用戶ID的原因?
只要密碼是唯一且長的,它完全允許識別用戶。
A
回答
1
首先,如果沒有用戶標識,密碼重置會非常複雜。
但真正的原因是,這是不可能使用鹽析,以保護密碼,如果你沒有一個用戶ID,這意味着你將有效算不上是保護你的密碼。
這是爲什麼。 Salting要求您知道用於生成密碼哈希的salt。過程如下:
- 使用用戶ID在你的數據庫
- 鹽&哈希值是提供
- 檢查這是否你在DB有密碼哈希值相匹配的密碼,找到鹽。
如果您沒有用戶標識,那麼您需要檢查您的數據庫中的每個用戶的密碼。
這相當複雜,檢查一個密碼是針對整個數據庫的,這是您有意通過設計使其過於昂貴(按時間或金錢)。
1
Web應用程序不僅僅使用密碼的一個最重要的原因是兩個用戶可能擁有相同的密碼。
當密碼是識別用戶的唯一因素時,用戶A可以用他的密碼登錄並且可以訪問用戶B的帳戶而不是他自己的帳戶,因爲他們使用相同的密碼並且系統需要選擇一個用戶登錄。
相關問題
- 1. 爲什麼在存儲密碼時使用鹽而不是AES
- 2. 爲什麼adduser的提示輸入UNIX密碼,而不是一個Linux密碼
- 3. 密鑰庫:爲什麼getCertificateChain(..)不需要密碼,而getKey需要密碼?
- 4. mysql userid密碼更改
- 5. 爲什麼不應該使用密碼作爲會話密鑰
- 6. 將SSH設置爲僅使用密鑰,而不是密碼
- 7. Gitolite通過密碼而不是密鑰
- 8. Android:Java:使用密鑰而不是密碼解密AES
- 9. 爲什麼使用密碼中的特殊字符被認爲是強密碼?
- 10. Jenkins使用什麼密碼加密?
- 11. Zend Framework密碼字段呈現爲'文字'而不是'密碼'
- 12. 幫助使用密碼,而不是gravatar
- 13. 什麼是密碼加密位
- 14. 爲什麼PHP的mt_rand不是密碼保密的?
- 15. 什麼是rabbitmqctl密碼?
- 16. 什麼是密碼/散列?
- 17. 爲什麼Vigenere密碼只能正確加密部分消息?
- 18. 對稱密碼學中密碼的用途是什麼?
- 19. 使用密鑰/密碼而不是網站登錄
- 20. 使用密碼,而不是公共密鑰git
- 21. tortoisesvn:如何使用密鑰驗證而不是密碼?
- 22. 爲什麼使用GetPassword()方法而不是內置密碼屬性asp.net2.0成員
- 23. PostgreSQL:爲什麼我可以使用設定的密碼連接到用戶而不必輸入密碼?
- 24. 爲什麼不psycopg2.connect檢查密碼?
- 25. 爲什麼「$ _GET」密碼不好?
- 26. 爲什麼不允許密碼驗證?
- 27. 在ssh密鑰生成中使用的密碼是什麼?
- 28. 爲什麼在加密文本時使用jasypt設置密碼?
- 29. 刪除密碼而不是重置密碼
- 30. X-PAYPAL-SECURITY-USERID,密碼和簽名
更不用說用戶不想記住32個字符的十六進制字符串! – CDspace