0
在我的數據庫中,我保存了密碼與比較兩個哈希有bcrypt(PHP)
password_hash($user->getPassword(), PASSWORD_BCRYPT);
登錄表單中,用戶輸入此密碼,我編碼的密碼到bcrypt串並提交加密的密碼(因爲我沒有SSL)到服務器。
所以我的問題是可以比較使用bcrypt生成的兩個散列?
A
回答
5
在登錄表單中,用戶輸入此密碼,然後將密碼編碼爲bcrypt字符串,並將密碼(因爲我沒有SSL)提交給服務器。
停止你在做什麼,去購買SSL證書。有幾個景點(https://www.startssl.com/就是其中一個),您可以免費獲得一個景點,或者您可以向Namecheap等人支付7美元。
您已經實施了錯覺的安全性。在客戶端散列密碼不會提供任何有意義的安全優勢 - 任何MITM攻擊者只需將JavaScript的調整副本提供給他們正在攻擊的人(或者只是截取散列密碼,這實質上就是用戶的真實密碼方案)。
+0
確定thx爲您的答案我會購買SSL證書:-) – user2831042 2014-11-03 19:54:22
相關問題
- 1. BCrypt:如何比較兩個哈希?
- 2. 將BCrypt哈希與Bcrypt哈希比較PHP
- 3. 比較兩個哈希集?
- 4. 比較Nodejs在PHP中生成的bcrypt哈希
- 5. 如何比較兩個包含〜25000個哈希的哈希?
- 6. 比較兩個密碼哈希值 - nodejs
- 7. 蟒蛇 - 問題比較兩個哈希
- 8. Perl - 比較兩個嵌套哈希
- 9. 如何比較兩個哈希表
- 10. 紅寶石:比較兩個哈希
- 11. Perl中兩個哈希的比較
- 12. 比較哈希
- 13. PHP bcrypt哈希存儲鹽
- 14. 比較Python哈希
- 15. 存儲bcrypt哈希
- 16. 如何比較Symfony 3中的密碼(Bcrypt哈希)?
- 17. 紅寶石BCrypt哈希比較不起作用
- 18. 使用salt(bcrypt)比較哈希密碼總是返回false
- 19. 比較兩個具有未知值的哈希
- 20. PHP:與哈希圖像精確比較
- 21. 比較紅寶石哈希
- 22. PBKDF2和哈希比較
- 23. perl,比較哈希,子集
- 24. 比較來自多個哈希值
- 25. Java |比較四個哈希映射
- 26. Perl:比較2個哈希表值
- 27. 在Perl中比較數值的兩個哈希值按價值比較Perl
- 28. 比較紅寶石兩個哈希陣列,除了一鍵
- 29. 如何比較RSpec中的兩個哈希值?
- 30. 紅寶石比較兩個哈希陣列,用某些鍵
不可以,除非他們使用完全相同的鹽和成本參數。 – Mike 2014-11-03 19:43:24
好吧,這意味着如果我使用相同的鹽和成本,這將是可能的?但是我認爲在javascript中顯示鹽和成本非常糟糕... – user2831042 2014-11-03 19:46:44
@ user2831042鹽和成本不是敏感項目。您應該擔心您正在爲該網站提供服務,並且您的關鍵安全功能不可加密且易受攻擊。 – ceejayoz 2014-11-03 19:47:31