散列用戶名和密碼是否會產生任何安全優勢? 我的意思是這樣的方法:散列用戶名和密碼是否會產生任何安全性好處?
1.用戶進入E-mail地址
2.Calculate散列(電子郵件)地址
3.用戶輸入的密碼散列計算(密碼)。
4.匹配值以指示登錄成功或失敗。
這是否會使得將破解的哈希與相應的用戶進行匹配有點困難。
我不知道這是否已經使用,或者如果這個想法是不切實際的,由於某種原因,我沒有想到。我沒有在我的搜索中找到任何東西,所以我在這裏問。
散列用戶名和密碼是否會產生任何安全優勢? 我的意思是這樣的方法:散列用戶名和密碼是否會產生任何安全性好處?
1.用戶進入E-mail地址
2.Calculate散列(電子郵件)地址
3.用戶輸入的密碼散列計算(密碼)。
4.匹配值以指示登錄成功或失敗。
這是否會使得將破解的哈希與相應的用戶進行匹配有點困難。
我不知道這是否已經使用,或者如果這個想法是不切實際的,由於某種原因,我沒有想到。我沒有在我的搜索中找到任何東西,所以我在這裏問。
這會使登錄憑證更難以破解,但這也意味着您將無法獲得明確的用戶名文本版本,這是您可能需要執行的操作。
加強登錄憑證安全性的最佳方法是對用戶密碼(如bcrypt或PBKDF2)使用更強大的(即較慢)散列哈希算法。
嗯..所以它會使它更安全。但我猜想這是不切實際的......我知道bcrypt,剛纔問起這個古怪的想法,剛纔我腦海中浮現。讓我們看看是否有其他人指出了別的。 –
我不是安全專家,但它感覺應該增加一些安全性。但是,您可能很難用這種方式與用戶進行交流。您無法通過產品更新或每月發票向發送郵件發送郵件。
如果您有幫助,請接受其中一個答案。 –
你需要一件保證唯一的東西。哈希不保證是唯一的。如果您曾經遇到兩個用戶使用不同郵件但使用相同電子郵件散列的情況,您無法確切知道哪個用戶正在嘗試登錄。所以,它會*少*安全。 –
我在想,哈希(用戶名)+哈希(密碼)組合將是唯一的。現在,雙方的雙重衝突仍然存在,就像我剛纔說的,我只是在拋出一個主意。 –