我有安全的sql包含和文件注入,我想知道爲什麼如果沒有訪問服務器可能需要salting密碼?爲什麼要輸入密碼?
如果一個破解者無法訪問服務器,他將如何從PHP服務器獲取哈希密碼?沒有本地帳戶的Web服務器,Linux或Windows。另外如果他在Web服務器上有一個Web帳戶呢?
我的想法是,哈希密碼永遠不會被黑客看到,因爲密碼比較發生在Web服務器而不是客戶端計算機上。所以如果服務器是安全的,那麼破解者將無法訪問他或其他哈希密碼,對吧?
,如果服務器就不可能獲得
每堵安全漏洞,你可以找到並不意味着有沒有留下安全漏洞。
您不能假定對服務器的訪問是(並且將保持)不可能。
有知道的知識 – 2013-12-17 21:02:08
因爲你不能確定沒有訪問服務器或永遠不可能 - 你可能是錯的。一個破解者如何從一個PHP服務器獲取散列密碼?一個錯誤,或者是漏洞利用,或者是社交工程,或者是你僱用然後開除的一些人,現在他生氣了,感覺就像將數據庫的數據轉儲泄漏到互聯網上一樣。爲什麼不是鹽你的密碼?
如果你沒有使用密碼,你會冒着黑客使用彩虹表(http://en.wikipedia.org/wiki/Rainbow_table)的風險,並對你的登錄進行蠻力操作,直到他/她得到正確的密碼。
有''她'''攻擊者,當然;-) –
爲性別中立而更新... :) –
它總是最好的。你知道女士在感到被拋棄時會討厭多少;-) –
假設你100%不可靠是一個不好的假設。散列密碼是一項簡單的任務,所以我認爲更好的問題是爲什麼不這樣做?總之,如果OWASP建議你應該這樣做。 https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet 你不想像LinkedIn一樣結束:http://queue.acm.org/detail.cfm?id=2254400
不要忘記「內部人士」的威脅。心存不滿的員工有權訪問。 https://www.owasp.org/index.php/CLASP_Security_Principles – gfrobenius
那麼爲什麼要把它們放在首位?您可以將它們存儲爲純文本:p – knittl
*「爲什麼要輸入密碼?」 - 您是否想找出「困難的方式」? - *我不這麼認爲*。所以,'鹽'它。 ;-)一盎司的預防('dot,dot,dot') –