我讀過大量有關散列和醃製密碼,do's,do not等的信息。我看到的問題是:如果黑客要通過竊取散列列表的努力密碼,那麼他不能訪問所有受密碼保護的數據嗎?這就像將組合保存在安全的中。入侵併竊取組合。如果我是小偷,我會拿這筆錢。安全薄弱環節
現在一家大公司可能只有一臺單獨的服務器用於身份驗證。但是,黑客需要數據,而不是密碼。所以,如果兩臺服務器都是平等的,那麼我會打入保存數據的那臺服務器。
在這裏我缺少計算機安全的一些基本缺陷嗎?有沒有散列文件破解密碼的非社交方式?
感謝您的協助。
--Dave
你假設這樣的人有權訪問整個數據庫。情況並非總是如此。他們可能偶然發現了散列意外暴露給用戶的頁面(並且因此無法訪問數據庫的其他部分),或者他們可能使用SQL注入來以有限的方式提取某些數據(例如,他們可能已經發現你的用戶表被稱爲users,但不是你的信用卡表被稱爲lolcats)。
另一個安全考慮因素是您的內部IT人員。合法訪問數據庫的開發人員通常不應該以明文形式查看每個人的密碼。
一個原因是大多數用戶有多個帳戶相同的密碼。未加密的密碼意味着我在其他網站上的帳戶可能會受到影響 - 尤其是因爲電子郵件是登錄的常用字段。通過哈希密碼,如果一個網站的數據庫被盜,我可以保護我的電子郵件帳戶不受影響。
大多數用戶將重複使用多個系統的密碼。如果攻擊者闖入您的系統,您不希望他能夠使用您的數據在不同網站上侵入您用戶的帳戶。另外,如果您使用用戶密碼加密數據,並且只存儲密碼的哈希值,那麼即使攻擊者獲取了整個數據庫,除非他能夠破解哈希值,攻擊者將無法執行任何操作。請注意,除非您有辦法使用安全答案解密數據(實際上是第二個密碼),否則將無法實現'忘記密碼'功能