如何在Laravel中生成并验证随机(和临时)密码?
在Laravel中生成并验证随机(和临时)密码,可以通过以下步骤实现:
- 生成随机密码:
Laravel提供了
Str辅助类来生成随机字符串。可以使用random方法生成指定长度的随机字符串,然后将其作为密码保存到数据库中。例如,生成一个8位长度的随机密码可以使用以下代码: - 生成随机密码:
Laravel提供了
Str辅助类来生成随机字符串。可以使用random方法生成指定长度的随机字符串,然后将其作为密码保存到数据库中。例如,生成一个8位长度的随机密码可以使用以下代码: - 验证密码:
Laravel提供了
Hash辅助类来进行密码的哈希和验证。可以使用make方法将密码进行哈希处理,然后将其与数据库中保存的哈希密码进行比较,以验证密码是否正确。例如,验证密码是否匹配可以使用以下代码: - 验证密码:
Laravel提供了
Hash辅助类来进行密码的哈希和验证。可以使用make方法将密码进行哈希处理,然后将其与数据库中保存的哈希密码进行比较,以验证密码是否正确。例如,验证密码是否匹配可以使用以下代码: - 临时密码: 如果需要生成临时密码,可以在生成随机密码的基础上,将其保存到数据库中,并设置一个过期时间。在验证密码时,先检查密码是否过期,再进行密码匹配的验证。
以上是在Laravel中生成并验证随机(和临时)密码的基本步骤。在实际应用中,可以根据具体需求进行适当的调整和扩展。
关于腾讯云相关产品,推荐使用腾讯云的云服务器(CVM)来部署和运行Laravel应用,以及腾讯云的云数据库MySQL(CDB)来存储用户密码等敏感信息。您可以访问腾讯云官网了解更多关于云服务器和云数据库MySQL的详细信息:
相关·内容
1回答
我目前正在设计一个移动/桌面应用程序来同步一些消息或注释。我正在寻找一种方法来保护它,并避免让服务器能够读取消息。
我的目标是有一个客户端加密客户端的消息,并将其发送到存储到数据库的服务器。然后,如果连接到同一帐户上的另一个客户端,它将接收加密消息,对其进行解密并将其存储在本地缓存中。
我不能仅仅使用一种标准的端到端加密方法,因为我不想每次使用应用程序时都有不同的密钥。我希望能够将消息存储在数据库中。
另一个限制因素是,我不希望用户手动管理密钥。我只想要这个账户的密码。
所以,我想象的一个解决方案是使用非对称算法,如RSA和对称算法,如Blowfish或CAST。当用户创建一个帐户时,我生成一
浏览 0提问于2016-10-13得票数 3
回答已采纳
3回答
通过无保护网络登录
、、、
我们正在为客户端设计一个API端点,用于登录到我们的服务。但是,关于如何确保用户的密码在使用不受保护的网络时受到保护,我确实有一个问题。
在考虑了这个问题之后,我们得出结论,我们可以修改我们的应用程序,在每次登录尝试登录两个请求之前,我们可以修改应用程序,然后在尝试通过网络发送密码之前对用户的密码进行散列。这解决了通过不受保护的网络发送用户密码的问题,另外,我们还可以检查该密码并使其失效,以防止后续的回复攻击。
然而,为了使这个工作,我没有找到任何方法能够使用一个盐在散列机制,如果我们这样做,用户不能生成正确的哈希或我们需要发送盐给用户。
我现在脑子里想的是:
应用程序要求一次性的时间限制
浏览 12提问于2017-10-03得票数 0
2回答
未创建Laravel文件
、、、、
我正在尝试创建pdf与Laravel。
问题是当我尝试在控制台中运行wkhtmltopdf命令时,例如:
wkhtmltopdf http://google.com google.pdf
它工作良好,并生成pdf。
但是当我试图在我的控制器中生成pdf时,它会抛出这个异常:
RuntimeException
文件'/home/alemil/Projects/test/storage/app/annual_reports/Pdf test.pdf‘没有创建(命令: /usr/local/bin/wkhtmltopdf -低质量-页面大小'a3’/tmp/knp_snappy5b
浏览 0提问于2018-10-03得票数 3
回答已采纳
我需要实现一个生成随机密码的方法,然后验证用户是否正在使用之前生成的密码。 我真的很感谢大家的帮助和指导。谢谢大家!
浏览 49提问于2021-10-03得票数 0
2回答
我读过一些关于以编程方式生成密码的不同帖子,许多人评论说,使用标准的随机模块是一种安全风险。有人能解释一下原因吗?如果我使用标准随机库选择20个随机字符/符号/数字来生成密码,那么这肯定比你妈妈或爸爸拥有的许多“常规”密码要强得多?
我知道这不是真正的随机,但我看不出这在这个用例中有什么问题。
浏览 0提问于2021-04-09得票数 0
3回答
我试图用MD5/SHA和salting相结合的方式来加密密码的逻辑。
我理解用户验证文本密码,并将随机字符串(salt)附加到文本密码,然后通过任何您想要的加密方法对最终字符串进行散列的概念。
这就是我失去概念的地方
比方说,在我的用户数据库中,我有用户名和用随机盐值生成的加密密码
当用户登录系统时,输入了密码,我如何获取正确的盐来检查密码的有效性?
如果盐是随机生成的,我就不能重新计算它
我是否必须将盐与用户名/密码记录一起存储?如果我通过用户名查询数据库中的Salt值,似乎就违背了使用salting的目的。
如何在验证提供的密码时获得正确的salt?
浏览 1提问于2014-12-19得票数 1
1回答
你好,我是django和网络编程的新手。我正在为我的学校建立一个网站,允许学生安排在线咨询预约。 我需要能够通过电子邮件的学生临时密码,他们的学生电子邮件,然后验证他们在下一页。我有一份电子邮件表格: class EmailForm(forms.Form):
student_email = forms.EmailField(max_length = 200, label = 'Mail')
def clean_student_email(self):
student_email = self.cleaned_data['stud
浏览 27提问于2020-11-08得票数 0
2回答
如何在Laravel中检查密码?
、、、、
我用的是Laravel5.4。我知道哈希是单向的。我记得,我对密码进行了散列,并将它们保存在数据库中;当我想检查用户密码时,我会散列他们输入的密码,并在数据库上使用散列字符串检查密码。
在laravel中,我只需编写以下代码:
$email = $request['email'];
$pass = $request['password'];
if(Auth::attempt(['email'=> $email , 'password' => $pass])){
//return something
浏览 7提问于2017-08-19得票数 3
回答已采纳
如果我使用"mysqld --initialize-insecure",在初始化后登录就可以了,但是如果我省略了"insecure",那就是安全的初始化,之后我需要一个密码才能登录,但是我还没有设置任何密码。
菜单指出“无论平台如何,请使用--initialize进行”默认安全“安装(即,包括生成一个随机的初始根密码)。在这种情况下,密码将标记为过期,您需要选择一个新密码。”
我认为这将是问题所在,mysql使用“随机密码”和“标记为过期”来初始化超级管理帐户"root“,我需要”选择一个新的“,但如何呢?
我应该尝试mysqld --initializ
浏览 2提问于2018-03-10得票数 9
回答已采纳
我是Laravel 4框架和PHP的初学者。
目前,我正在尝试在客户端应用程序和服务器之间执行一个简单的身份验证过程。
以下是我计划的方法:
客户端通过带有用户名和密码的GET请求登录到服务器。
如果成功,服务器将验证并返回令牌字符串。令牌字符串将被编码(散列?)具有用户名、密码和过期时间。
客户端提交一个请求,包括给定的令牌。服务器将验证令牌(解码它、->、检查用户名/密码和过期时间)。如果成功,它将处理客户端的请求。
使用上述参数生成令牌并在服务器端解码的最佳方法是什么?
谢谢,我很感激你的时间和帮助。
浏览 1提问于2013-09-18得票数 10
将大量比特币保存在在线计算机中是危险的。比特币钱包只是一个文件,一旦文件被复制,比特币就可以转移到另一个帐户。密码保护的文件可以被黑客使用键盘日志和其他类型的间谍软件。
因此,一般建议是将少量比特币保存在计算机中,而其他比特币则保存在脱机帐户中。有两种主要类型的脱机帐户:
脑钱包:这些钱包是从密码中脱机创建的。只要所有者想要进行交易,钱包就可以用相同的密码来构造。不管是谁猜--或者是野蛮的攻击--密码,他都有钱包。
纸袋:这些钱包是通过随机种子产生的。它们应该印在一张高质量的文件上,放在保险箱里.
每种方法的优缺点是什么?长期脱机存储比特币哪一种更安全?
浏览 0提问于2013-02-11得票数 11
1回答
我有一个iOS应用程序,它向使用Laravel的服务器/站点发出HTTP请求,一切正常,但我想在返回任何信息之前验证HTTP请求。现在,它的工作方式是输入example.com/zip-code/51751,服务器响应请求,我想要的是让服务器只对来自iOS应用程序的请求做出响应。我想的是在我的iOS应用程序和Laravel应用程序中硬编码一个随机的iOS,然后将这个键作为我的HTTP请求的一部分,这样我就可以检查请求中的密钥是否与服务器中的密钥(.env文件)匹配。
下面是我目前拥有的代码,它工作良好,但不进行验证。
路由文件
Route::get('zip-code/{zipCode
浏览 0提问于2019-08-23得票数 0
回答已采纳
我目前正在努力理解哈希和盐类。据我所知,如果我只有密码和生成的散列(这是由随机盐ofc生成的),则不应该能够验证密码。那么,如果我不给出盐,password_verify函数在PHP中如何验证我的密码?背景中是否有一个隐藏变量,将其存储为php散列函数?
如果是这样的话,怎么能
doveadm pw -t '{SHA512-CRYPT}$6$myhash...' -p "qwertz"
即使我在另一台复杂的计算机上运行,也要验证它吗?这是一个工具,它附带了Dovecot(一个MDA)。
下面是我的PHP代码,它创建一个带有64个字符的随机盐,将其与密码组合在一起
浏览 9提问于2018-01-12得票数 3
回答已采纳
1回答
我有一个问题,如果你想:-为什么密码散列bcrypt在拉拉是随机unlike sha1?
我在bcrypt中测试了password 12345678,结果是不同的,或者与sha1的测试结果相同。
那么,在登录应用程序中,系统如何识别密码bcrypt?
谢谢
浏览 3提问于2018-01-06得票数 1
4回答
因此,我正在制作一个基本的登录页面。我有一个很好的想法,但我仍然不确定一些事情。
我有一个满是学生的数据库,当然还有一个密码栏。我知道我将在该专栏中使用md5加密。学生输入他们的电子邮件地址和学生ID,如果正确,他们会收到一个密码的电子邮件。
但是,我该在哪里创建密码呢?是否必须手动将mySQL中的密码(只是随机生成的字符串)添加给所有学生?我应该将密码发送给学生;如果密码是加密的,我如何知道要向学生发送什么?
当学生第一次输入他们的电子邮箱和学生ID时,我在考虑生成密码。他们收到一封包含随机字符串的电子邮件,同时,我将相同的随机字符串添加到数据库中,并加密。
这就是它应该是如何工作的吗?在同
浏览 2提问于2010-04-24得票数 1
回答已采纳
我想建立一个访问Laravel API的Vue web应用程序。不需要身份验证(如电子邮件或密码),除非我必须知道是谁发出了请求。我的想法是在第一个请求时给每个客户端一个随机令牌,然后每个请求都会发送这个令牌。
在Laravel中实现这一点的最佳方式是什么?我找到了这个,但它看起来很复杂,而且不是我真正需要的东西:
浏览 0提问于2018-06-23得票数 1
2回答
这是生成密码随机的n随机字节的有效方法吗?
def cryptographically_secure_random_bytes(n):
return ''.join(chr(random.SystemRandom().randint(0,256)) for _ in range(n))
我知道random.SystemRandom()和os.urandom()是一样的,而且我知道os.urandom()绝对是一种产生随机数的加密安全方法。
但是,chr(random.SystemRandom().randint(0,256))部分使我有点不感兴趣。由于chr()不支持u
浏览 1提问于2018-10-12得票数 2
回答已采纳
1回答
我们正在使用Java,我们计划创建一个可重用的API,该API可用于生成和验证自定义令牌。这就是我们要做的
步骤1:使用一个好的CSPRNG (密码安全伪随机数生成器)生成一个随机数。这将是标记的种子
第二步:使用盐类散列种子。散列版本将是标记。
我的问题是,如果令牌是通过散列来创建的,那么种子是否仍然需要从一个好的CSPRNG中生成呢?有关系吗?
浏览 0提问于2020-12-03得票数 0
为此,我试图更改用户的密码,我需要检查该用户的旧密码是否与我从html "oldpass“文本框中获得的值匹配。如果现有密码值与"oldpass“值匹配,则将在我从数据库获得的database.The密码值中更新新密码。
:where(‘id’,'=',Session::get('userid'))->get(array('password'));)问题是$userpass返回一个空值。
以下是代码:
$oldpass = Hash::make(Input::get('oldpass'));//Get
浏览 3提问于2014-04-07得票数 1
回答已采纳
1回答
我知道KDF (Key derivation function)是用来扩展用户密码的,它基本上不适合用作密码算法中的密钥。
但是,如果我创建一个随机密钥(随机32字节),我仍然需要在它上使用KDF来确保正确的加密吗?
浏览 1提问于2012-12-27得票数 1
回答已采纳
1回答
我必须更改机器上的本地管理员密码。我不想把密码存储在数据库里。我必须生成一个密码,稍后我可以找到这个密码才能再次连接到机器。因此,我定期生成一个秘密随机字符串(存储在数据库中),并使用机器名对其进行散列。此时,我想知道如何从这个散列(遵循当前的良好实践)生成密码,并希望找到最安全的方法。
所以…我必须从SHA-512生成一个密码(用Python并遵循当前的良好实践)。我怎么能这么做?与密码生成和生成密码有关的安全方面又如何?
浏览 0提问于2015-07-23得票数 3
回答已采纳
5回答
为了安全起见,有50个字符随机生成的秘密用户名和50个字符随机生成的秘密密码与100个字符随机生成的没有密码的秘密用户名有什么区别吗?
浏览 0提问于2018-03-26得票数 5
回答已采纳
2回答
所以我想得到一个密码强随机数发生器..。问题是,出于某些原因,我仍然希望能够为生成器分配一个随机种子(如果需要的话,它可以是一个相对较大的种子)。
所以鉴于此..。如果使用密码强随机生成器(如pycrypto的随机模块或random.SystemRandom)为正则python随机模块生成随机种子,那么该随机模块是否具有足够的随机性和熵来被视为密码强?
浏览 3提问于2016-01-03得票数 0
回答已采纳
密码专家请帮忙。
我已经了解到,使用对称算法(例如AES)的加密密钥应该通过PBKDF2函数从密码中派生出来,在每次加密中使用随机盐。我还了解到,IV不应该硬编码,也不应该直接绑定到密码字符串或加密密钥。直到现在,我还在随机地生成(密钥派生盐和 IV ),每个字节用于AES-256加密,并将它们与加密的有效载荷一起存储。
现在,我认为随机生成的IV是多余的,如果我使用随机盐,因为我可以从密码字符串中派生出密钥和IV。或者我不应该?
因此,我的问题最终是:
我是否可以从密码导出初始化向量(就像我对密钥所做的那样),或者应该每次生成随机IV,因为我在每次加密中都使用了随机盐类?
那么我可以使用下面
浏览 0提问于2012-09-27得票数 4
回答已采纳
1回答
我正在实现一个安全协议,对于密钥管理,提出了一种在远程设备上使用密钥派生功能的方案。因此,输入种子以明文形式上传到远程设备。现在,如果两个实体共享相同的主键,并从这些主键和种子/盐类生成会话密钥,则它们得到相同的会话密钥。
现在,我不完全理解的是,随机种子应该由一个密码安全的随机生成器生成,但是可以以明文形式上传到远程设备。这是真的吗?这是因为从密码分析的角度来看,使用确定性随机种子会泄露主密钥的信息吗?由于这是一篇论文的一部分,我希望有任何关于这方面的文献。
提前谢谢你
浏览 0提问于2017-11-20得票数 4
回答已采纳
我读过关于elgamal算法的文章,它的工作原理如下
Bashir选择一个大的随机素数p和一个原根α模p。
然后,巴希尔选择一个随机整数a,其中包含2≤a
Bashir的公钥是(p,α,α^ a ),他的私有会话密钥是a。
加密阶段包括以下步骤:
阿米纳获得巴希尔的公钥(p,α,α^a)。
她随机选择了一个自然数b
计算α^b模p和mα^ab模p。
然后阿米纳将密码文本c= (α^b,mα^ab)发送给巴希尔。
破译阶段包括以下步骤:
Bashir使用他的私钥计算(α^b )^(α) mod p。
然后他通过计算(-a^b)^( .mα^ab mod p )破译m。我理解这个算法,但我想知道简
浏览 0提问于2014-05-18得票数 1
我正面临着湿疹。
我在客户端服务器应用程序上使用Asp.Net标识来存储用户帐户、角色和密码。只是为了避免样板,而不是重新发明wheel.That的工作。
但是,我想验证远程客户端。我不想通过有线传输密码,所以我也想编码/散列它,并检索访问令牌。
Asp.Net中的散列机制使用了一个随机盐,包含在AspNetUsers表中的"PasswordHash“字段中,其中包括加密算法、salt、版本等。
对于如何安全地验证客户端密码有任何建议吗?也许是提取服务器上的盐,在客户机上发送/重新编码密码,还是类似的东西?
服务器:保存的散列
Client:散列/加密和发送到服务器的密码
需要:安全地
浏览 0提问于2018-12-26得票数 0
回答已采纳
1回答
我正在尝试实现一种更强大的密码散列/存储机制,并选择最简单的方法,即PHP的和。
我让PHP生成一个推荐的随机盐,这一切都是有意义的。除了,我需要实现的“强密码”策略的一部分是拒绝用户重新使用以前使用的密码。理论上,我可以通过存储哈希密码的存档来实现这一点。当用户更改他/她的密码时,我们将对照哈希存档检查新的哈希。如果有匹配,我们知道密码已经使用过,并拒绝它。然而,实现随机盐,虽然安全性要高得多,但有效地使这个密码哈希存档毫无用处。
那么,我的问题是如何在使用随机盐类的同时实现这个密码策略呢?当然,其他人也遇到了这个问题。
浏览 4提问于2015-09-10得票数 2
回答已采纳
1回答
我尝试在一个简单的密码文件中替换密码。新密码是垃圾,并且是随机生成的。
例如,下面是一个包含root帐户的影子文件。
root:igXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX+udyyyyyyyyyyyySgY=:10933:0:99999:7:::
我有下面的表达式,4次尝试中有3次有效。
在第四次尝试时,我得到了这个错误"sed:替换表达式中的错误选项“。
另一次,它工作得很好。密码将替换为随机生成的字符串。
sed -i "/root/ s/ *:[^:]*:/:"$(openssl rand -base64 32)":/ &#
浏览 1提问于2014-04-03得票数 2
1回答
我读到电话加密通信(GSM是在2G,3G中实现的)--特别是在SMS未加密的情况下--使用流密码。
对称流密码器使用触发器机制启动(一个真正的随机生成器imho),然后遵循一些算法按位改变消息(如果截获足够多的x和y,则可以用简单的线性代数中断)。)
但是没有明确的解释(在Youtube的Christopher课程中,这是一个简洁的过程),关于手机是如何在这个关键问题上达成一致的。
有什么指示吗?
浏览 0提问于2022-05-03得票数 0
我正在学习哈希和加密,似乎无法理解这一点:
客户端:新用户日志在=>中创建以纯文本发送到服务器的密码=>
服务器:服务器生成一个随机的" salt“=>纯文本,而salt是统一的=>哈希函数(例如SHA-3),将password+salt散列为散列,=>哈希存储在DB中。
Client:相同的用户以纯文本登录并登录到服务器的=>密码。
服务器:密码需要重新添加它在创建帐户时生成的相同的盐分,以获得相同的哈希。
服务器如何生成相同的随机和唯一的盐?盐是否完全存储在不同的DB上?如果DB被破坏,黑客还可以访问salt,并使用salt强制彩虹表并将其解压缩
浏览 0提问于2021-02-19得票数 0
回答已采纳
简写版:
我想知道是否使用随机盐类散列了相同的值,如何验证我现在得到的值是否“等于”作为用户密码存储在我的数据库中的值。那么,在这里,平等意味着什么呢?
长版本:
直到现在,我还以为哈希函数在密码必须散列时是这样工作的:
选择一个算法,比方说是SHA1算法
使用该算法对输入进行大量更改,以至于您无法猜出输入是什么,或者它看起来如何?
将散列值与用户一起放入数据库,当需要登录时,在输入时再次使用散列函数,并将其与数据库中已经存在的哈希函数匹配
建议使用随机盐类,将它们与用户一起存储,在登录阶段,您可以取出该盐类来散列给定的密码,并将其与数据库中已有的散列值匹配。
所以,我
浏览 1提问于2016-06-17得票数 2
回答已采纳
您好,我的问题是,如果它是更好的有一个在我的mySQL数据库的那些用户谁还没有通过电子邮件验证他们的帐户的temporary_users表。如果用户通过验证,那么他的数据将被复制到users表中。
否则,所有用户,无论是否经过验证,都将保存在users表中,其中将有一个带有随机数字的新列。当用户通过验证时,该值将被擦除,这意味着他可以登录。
在未来,我将创建一个忘记密码的功能,其结构与您建议的相同。
最好的方法是什么?
浏览 1提问于2011-09-02得票数 1
回答已采纳
我刚刚读到了PHP5.5中的新特性,它包括新的密码散列功能()。现在,如果您查看描述,它的默认操作是在没有指定密码盐的情况下随机生成密码盐。
但我看不出这有什么用。因为如果您要对密码进行散列以确保安全存储,而salt是随机的。然后,当您运行用户输入密码的字符串时,如果每次salt不同,则生成的散列每次都会有所不同。因此,您将无法成功地比较输入的有效密码与密码哈希的存储副本。
那么,这怎么可能有用呢?
浏览 2提问于2013-10-10得票数 3
回答已采纳
6回答
我用PBKDF2存储我们客户的密码,我想让这些弱密码更加强大(我不想限制用户使用一些非常特定的密码长度或特殊字符等等)。
我的想法如下:
使用用户(弱)密码
生成定义大小的随机字符串("salt") (cca 20个字符),对其进行加密(我们使用Amazon )并与其他用户数据一起保存。
将弱密码与这个随机字符串(note1)结合起来--最终长度将是随机生成的盐类的大小。
使用PBKDF2从“更强”的密码字符串生成哈希
这个过程应该使密码更安全/更强吗?
note1)如何生成这个更强的密码--“密码”应该是原始密码和随机生成的字符串的某种组合。一些想法?这种算法必须是确定性的。
浏览 0提问于2017-03-06得票数 3
3回答
重置ASP.NET密码安全问题?
、、、、
我见过很多关于这个问题的问题,但是有几个问题还没有被问到。如果用户忘记了他们的密码,我希望他们能够用他们的电子邮件地址重置它(即没有安全问题/答案)。密码以咸散列的形式存储,因此不可能恢复。相反,我只是希望用户在确认他们请求重置后输入一个新密码。
已经提到的一种常见方法是简单地:
1)创建一个随机Guid/密码强随机数
2)将包含随机数的唯一URL发送到用户的电子邮件地址
3)确认后,要求用户更改密码。
但是,这不是对MITM攻击是开放的吗?如果通过互联网向电子邮件发送临时密码是不安全的,那么这样做和仅仅发送攻击者可以导航到的唯一URL有什么区别呢?我是否错过了一个关键的步骤,这将使这个系统
浏览 1提问于2010-01-27得票数 8
回答已采纳
在我php应用程序中,我编码了一个密码,它作为随机加密表单传递给每个请求,但是如果我复制之前的加密密码并粘贴到另一个用户请求中,它就会登录。我已经在burp套件应用程序中测试过了。
如何解决上面的问题,请大家帮帮我。
提前感谢
浏览 0提问于2016-12-02得票数 0
1回答
也许这是个新手的问题:
流密码,将异或消息位与一次垫位.假设我有一个伪随机数发生器,比如梅森扭子或类似的东西。我可以使用伪随机字符串来异或消息。使用密码作为生成器的种子。相同密码=相同伪随机序列。伪随机序列中的哈希块能产生一个更强的一次性衬垫流吗?
浏览 0提问于2015-07-19得票数 6
回答已采纳
1回答
认证协议
、
Alice和Bob共享一个秘密密钥K。假设有人建议使用以下方法使Alice能够安全地对Bob进行身份验证。
Bob生成一个随机消息r,在安全分组密码方案下使用K加密它,并将加密的消息发送给Alice。Alice对其进行解密,添加1,并将用K加密的结果发送给Bob。Bob对消息进行解密,并将其与r进行比较。如果差异为1,那么他肯定是在与Alice通信;否则,由于没有人知道这个秘密K,他正在与一个冒名顶替者交谈。这个协议安全吗?
这种安全性是基于1的差异还是仍然容易受到攻击?
浏览 0提问于2020-02-02得票数 0
1回答
我想知道哪种块加密模式最适合传输一个块长度的随机值。块长度可以是256个字节,传输是从人到人,直接消息。
这可以是密码或用户名。当然不是视频流。
浏览 0提问于2020-06-10得票数 -1
我正在使用与Heroku相关的Cloud9来启动一个web应用程序。由于有限的编程技能和经验,我尝试只专注于前端编码。因此,我使用Kinvey作为电子邮件的后端和Mandrill。
该逻辑包含以下场景:已注册用户可以允许任何其他人(不一定已注册)向集合(DB)添加元素。因此,使用该应用程序,注册用户可以输入另一个人的电子邮件并请求元素。电子邮件应包含url。与重置密码url相同,但不适用于某个DB元素,而不是密码。
如何利用当前的解决方案生成此url?或者,我如何在一般情况下轻松地生成它?它会安全吗?
谢谢!!
浏览 5提问于2014-05-08得票数 0
12回答
我想在我的web应用程序中实现密码恢复。
我想避免使用秘密问题。
我可以只通过电子邮件发送密码,但我认为这将是危险的。
也许我可以生成一个新的临时随机密码,然后通过电子邮件发送它,但我认为这和上面提到的一样有风险。
我是否可以通过电子邮件发送url,例如,其中xxxx是与用户关联的随机令牌。因此,当用户导航到该url时,他/她可以重置密码。
浏览 1提问于2010-04-29得票数 63
回答已采纳
我正在开发一个.net web项目,需要将用户名和密码存储在用户表中。
如果用户名和密码字段在users表中随机散列,盐类存储在用户的同一行中,我将如何验证用户身份?我是不是遗漏了什么?似乎我无法找到用户进行密码比较。
浏览 0提问于2014-12-14得票数 1
回答已采纳
2回答
每次我想让别人访问一台机器时,我都要求他们做个ssh拷贝id。在机器上创建用户帐户和随机密码之后,我就这样做了。这种情况经常通过电子邮件发生。
在要求用户执行ssh副本id和他们对其进行操作(这可能需要几个小时到几天)之间,我必须让我的机器向密码登录“PasswordAuthentication yes”开放。
有什么办法让这个工作流更好吗?我不想公开sshd的密码登录和经常之间的对话,我最终忘记设置PasswordAuthentication no。
浏览 0提问于2017-07-03得票数 2
我正在编写一个身份验证系统,它在客户机/服务器之间使用XML格式的消息。成功的用户名/密码身份验证需要将随机生成的会话ID返回给客户端:
<?xml version="1.0"?>
<amhAPI>
<auth>
<sessionId>728c91ea-2ead-4fa9-93c5-3a8453174bea</sessionId>
</auth>
</amhAPI>
如何编写单元测试来确认成功消息的格式,因为由于随机组件的原因,我不能简单地进行直线字符串匹配。
浏览 0提问于2011-05-31得票数 1
1回答
比方说,Alice使用美学256-CBC加密一些数据。加密密钥是使用PBKDF2派生的,其中密码是一些密码,Alice和Bob同意(使用DH),而salt是随机生成的(目前使用/dev/urandom )*。CBC的IV生成方式与盐相同。
现在Bob收到了密码,并希望对其进行身份验证,这样他就可以确定消息确实来自Alice (或其他知道密码的人)。Alice应该先加密数据,然后使用派生密钥作为密码,密码作为消息,并将结果追加/预置到密码中吗?或者她应该使用派生密钥作为密码,纯文本作为消息,将HMAC预先添加到纯文本中并进行加密?
(有很多相关的问题和答案,我只是搞不懂什么时候用什么,什么是利
浏览 0提问于2016-09-13得票数 0
回答已采纳
1回答
在过去的两周里,我一直在阅读许多关于网站安全和哈希密码的博客。
许多网站都提到了不同方法的利弊,这让我对我的代码有多安全感到有点困惑。
如果可能的话,谁能看看下面的代码,让我知道他们的想法。我已经在https://codereview.stackexchange.com/questions/30814/hashing-passwords-for-website-is-this-secure上发布了这个问题,但是还没有人回答。
我所采取的步骤如下:
创建随机盐
添加随机盐和电子邮件一起创建salt密码(电子邮件将在数据库中加密)
散列密码和salt,并存储在数据库中的public const i
浏览 0提问于2013-09-05得票数 4
如果攻击者有几个不同的项(例如:电子邮件地址),并且知道每个项的加密值,攻击者能更容易地确定用于加密这些项的秘密密码吗?意思是,他们能在不使用暴力的情况下确定密码吗?
这个问题听起来可能很奇怪,所以让我提供一个用例:。
用户用他们的电子邮件地址注册到一个网站。
服务器发送该电子邮件地址为确认网址(例如:)
攻击者可以猜到确认URL,因此可以注册其他人的电子邮件地址,并且可以“确认”它,而无需登录到该人的电子邮件帐户并查看确认URL。这是一个问题。
我们不会在URL中发送电子邮件地址纯文本,而是用一个秘密密码来加密它。
(我知道攻击者仍然可以拦截服务器发送的电子邮件,因为电子
浏览 10提问于2010-04-06得票数 13
回答已采纳
我的案子:
我正在使用CloudFormation来提供aws资源(无服务器的静态web应用程序)。
我只从模板创建amazon网关和用户(仅包含调用CloudFormation网关的权限)
我在api门方法中使用AuthorizationType: AWS_IAM。
IamUser:
Type: 'AWS::IAM::User'
Properties:
Policies:
- PolicyName: api-invoke-policy
Pol
浏览 5提问于2020-06-19得票数 0
当用户登录时,我想发送一个随机生成的数字以及密码和电子邮件字段,并将该数字附加到laravel正在抓取用户密码的位置(我想将随机数字附加到laravel从用户表中抓取的密码,然后对照用户在登录字段中输入的密码进行检查),但是我无法在隐藏字段中发送来自登录刀片的随机数字。请帮帮忙
浏览 4提问于2019-06-21得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
即时通信 IM
腾讯会议活动推荐
腾讯云开发者
