某些用户上缺少Salt和散列密码
是指在用户密码存储过程中,缺少了Salt和散列密码的安全措施。下面是对这个问题的完善且全面的答案:
- 概念:
- Salt(盐):Salt是一种随机字符串,用于增加密码的复杂性和安全性。在存储用户密码之前,将Salt与密码进行组合,并进行散列运算,以防止彩虹表攻击和暴力破解。
- 散列密码:散列密码是将密码通过散列函数进行转换,生成一段固定长度的密文。散列函数是不可逆的,即无法从密文还原出原始密码。
- 分类:
- Salt分类:常见的Salt分类包括随机Salt和固定Salt。随机Salt是每个用户都有一个唯一的Salt值,而固定Salt是所有用户共享相同的Salt值。
- 散列密码分类:常见的散列密码算法包括MD5、SHA-1、SHA-256等。然而,由于MD5和SHA-1等算法存在安全性问题,推荐使用更安全的散列算法,如SHA-256。
- 优势:
- 增加密码复杂性:Salt和散列密码可以增加密码的复杂性,使得密码更难以猜测或破解。
- 防止彩虹表攻击:Salt的引入可以有效防止彩虹表攻击,彩虹表是一种预先计算好的密码散列值与明文密码的对应关系表,用于快速破解散列密码。
- 提高密码安全性:通过使用散列密码,即使数据库被攻击者获取,也无法还原出用户的原始密码。
- 应用场景:
- 用户密码存储:Salt和散列密码常用于用户密码的存储过程中,以保护用户密码的安全性。
- 身份验证:在用户登录过程中,对用户输入的密码进行Salt和散列处理,与存储的散列密码进行比对,以验证用户身份。
- 推荐的腾讯云相关产品:
- 腾讯云密钥管理系统(KMS):用于生成和管理加密密钥,可用于生成Salt值。
- 腾讯云数据库(TencentDB):提供安全可靠的数据库存储服务,支持散列密码的存储和验证。
请注意,以上答案仅供参考,具体的产品选择和配置应根据实际需求和情况进行决策。
相关·内容
1回答
我在研究如何做盐和哈希。我将使用SHA256。以下是我的发现:
存储密码
使用CSPRNG生成一个长的随机盐。
将salt准备到密码,并使用标准的密码散列函数(如Argon2、bcrypt、scrypt或PBKDF2 )散列它。
在用户的数据库记录中同时保存salt和hash。
验证密码
从数据库检索用户的salt和hash。
将salt准备到给定的密码,并使用相同的哈希函数对其进行散列。
将给定密码的哈希与数据库中的哈希进行比较。如果它们匹配,密码是正确的。否则,密码不正确。
我的问题是:在数据库中对用户的密码进行散列后,如何获得原始的盐分?您不能“解散”盐分,并将其添加到他们输入的密码中,
浏览 0提问于2017-11-13得票数 1
2回答
如果salt没有与数据库中的散列密码一起存储,那么密码是否有可能被盐析?
我之所以这样问,是因为在我正在研究的系统中,只有一个密码列,但是当我查看代码时,似乎是谁在试图保存密码。
据我所知,密码/盐类的存储方式如下:
email | password (hashed) | salt (not hashed)
test@test.com | de898928393a893sfe7f98s7 | S#ne3
因此,当一个用户注册了他们的密码(下面的例子中是“青蛙”)时,会出现这样的情况:
//Generate salt (S#ne3 for this example)
浏览 0提问于2013-08-16得票数 3
回答已采纳
目前,我正在学习网络安全,并试图在我的下一个web应用程序中实现它。
我一直在读一些关于散列的文章,特别是SHA2和Blowfish。
在这文章中,建议在密码中添加硬编码的salt,这样检索数据库的攻击者就更难强行使用密码。这是有意义的,因为硬编码的salt不在数据库中,而且攻击者将无法访问它(只要它在服务器上运行,而不是在客户机上运行)。
但是,如果salt是硬编码的,这意味着对所有用户来说都是相同的,所以在攻击者破解数据库中的第一个密码并确定salt为"123“之后,他们可以在默认情况下将该salt应用于所有蛮力尝试。
我想到的这个问题的第一个解决方案是在将字符串传递给BCrypt
浏览 0提问于2022-10-17得票数 15
回答已采纳
我正在编写一个用于实践编程的WPF密码管理器应用程序,到目前为止,我打算使用这个方案来存储主密码和单独的站点密码:
主密码:
产生一种随机盐。
使用SHA256散列主密码+ salt
将散列和salt以文本形式存储在DB中。
对于每个网站密码:
产生一种随机盐。
散列主密码+带SHA256的salt
使用哈希作为AES256加密密钥加密站点密码。
将加密的站点密码存储为二进制blob,salt以文本形式存储在数据库中。
显然,用户每次想解密站点密码时,都必须重新键入主密码,否则我必须将主密码存储在内存中。
关于我的问题:
我应该在散列主密码和创建加密密钥时使用相同的散列函数,还是应该使用两个不
浏览 0提问于2015-06-04得票数 0
6回答
在密码加密中使用随机盐?
、、、
我已经看到了一些关于这个主题的其他线程,但是我似乎找不到一些关于在密码加密中使用随机盐的问题的答案。据我所知,这些步骤是这样的:
为用户生成随机盐。
把盐附加到他们的密码上。
使用类似于SHA-2的东西来散列结果。
将salt和hashed密码存储在数据库中。
当检索用户密码和验证登录时,此方法如何工作?有一个答复说,应该检索用户的salt,将其附加到输入的密码中,对其进行散列,然后将其与存储的散列进行比较,但这难道不引起一些问题吗?即:
如何在不损害用户的情况下检索盐分?如果有人想强行强制某个帐户的密码,难道他们就不能检索从服务器发送回来的盐分来散列输入的密码,从
浏览 0提问于2010-10-26得票数 4
回答已采纳
我可以散列我的用户输入的密码,但我无法找到如何比较存储的哈希和用户输入的密码的新哈希。
这是我的哈希代码:
public static string CalculateHash(string clearTextPassword, string salt)
{
//Convert the salted password to a byte array
byte[] saltedHashBytes = Encoding.UTF8.GetBytes(clearTextPassword + salt);
//Use hash algorithm to calulate has
浏览 5提问于2016-02-07得票数 2
回答已采纳
想象一下情况:
应用程序可能通过SSL/TLS运行,也可能不运行
应用程序不应该知道客户端的密码,因为客户端可能重用密码。
那么,合并客户端和服务器端密码哈希不是最好的吗?
如何创建密码:
用户在字段中输入密码。
本地端javascript哈希密码,并提供salt用户名。
该散列数据通过网络传输到服务器。
服务器将随机生成的salt添加到哈希中,并将两者重新散列到一个新哈希中。这个新的散列和服务器端随机盐被存储。
登录将如何工作:
用户在字段中输入密码。
“登录”字段的值作为salt,本地端javascript计算散列。
此哈希通过网络传输到服务器。
服务器获取存储给该用户的salt,将散列和
浏览 0提问于2015-06-16得票数 1
4回答
我决定使用存储在数据库中的每个用户的salt来实现用户登录。salt是密码的前缀,该密码使用SHA进行散列并存储在数据库中。
在过去,当我不使用salt时,我会使用典型的方法,即使用用户输入的用户名和密码来计算查询返回的行数。但是,对于每个用户的salt,您需要先获取salt,然后才能将其与存储的密码散列进行比较。
因此,为了避免两个查询(一个用于获取salt,另一个用于验证输入的凭据),我决定根据输入的用户名在一次查询中获取salt和散列密码。就像这样
SELECT users.salt, users.password
FROM users
WHERE
浏览 3提问于2009-09-25得票数 3
回答已采纳
3回答
我正在尝试了解在web应用程序中需要发送哪些信息。基本上,我有一个运行在web服务器上的web应用程序,一个数据库,其中有一个带有散列密码和盐的用户表,当然还有一个启用了javascript的web客户端。
当用户在登录时登录时,在客户端输入用户名和密码。我想知道发送了什么信息。web客户端是以纯文本形式发送密码,还是使用javascript在没有盐的情况下对密码进行散列并发送散列后的结果?或者客户端是否从服务器获取纯文本形式的salt,然后客户端发送散列的password+salt?
散列和用盐散列的最好方法是什么?MD5可以作为散列吗?散列( password_plain_text + s
浏览 6提问于2011-06-08得票数 3
回答已采纳
3回答
要授权用户,我们的应用程序定义如下步骤:
通过HTTPS发送用户电子邮件和密码(纯文本)。
当服务器接收到它时,生成一个salt来散列密码并存储它。
当用户想要登录时,用salt验证密码。
为了更容易地撤销用户密码,我选择在服务器上生成一个salt。但是我的同事认为在密码发送到服务器之前,应该先对客户端进行散列。
我的问题是,如果我们在客户端散列密码,它将使密码更安全。但是我们仍然把盐传送到服务器,否则我们就无法证实它。如果有人得到这个盐,密码仍然是不安全的。我怎样才能保护这个请求?
浏览 0提问于2019-06-27得票数 0
2回答
基于通用密码的密码散列
、、、
如果攻击者有一个包含1,000个用户哈希密码的数据库,这些密码使用SHA-256和128位salt进行散列,所有这些用户都使用了10,000个常见密码。黑客需要做多少哈希才能恢复所有密码?
我以为它只是1,000*10,000 = 10,000,000散列,但我不知道盐如何影响恢复散列的计算。
浏览 0提问于2022-11-28得票数 3
对这一进程有何评论/改进?
用户表: id、用户名、密码、salt
存储新用户
$_POSTGenerate接收来自$_POST的用户名(明文)从服务器上的$_POST接收密码( in 512‘d使用javascript)从接收128个字符的salt (带有符号的字母数字),并将其存储在salt columnPrepend中,将密码哈希与salt一起存储,并将其保存在密码列中。
浏览 1提问于2010-08-18得票数 0
回答已采纳
1回答
我正在开发.Net核心中的身份验证。我有api来创建一个用户登录和密码。 我对密码进行了散列处理,但我找不到任何方法来将散列后的密码与用户的新输入进行比较。 我使用了微软提供的散列方法: https://docs.microsoft.com/en-us/aspnet/core/security/data-protection/consumer-apis/password-hashing?view=aspnetcore-3.1 // generate a 128-bit salt using a secure PRNG
byte[] salt = new byte[12
浏览 36提问于2020-06-16得票数 0
回答已采纳
1回答
我想使用来散列密码。但是我发现它的演示并没有使用salt来散列密码。但是它使用一个虚拟的盐来检查密码,我觉得这很奇怪,我完全不理解这个想法,
$dummy_salt = '$2a$08$1234567890123456789012';
if (isset($dummy_salt) && strlen($hash) < 20)
$hash = $dummy_salt;
我想知道,如果我想使用约定方法,我可以生成唯一的盐,并将其存储在我的数据库中的每个用户,我如何使用便携式PHP密码哈希框架来生成盐?
这是我用来散列密码的函数,但我被告知sh
浏览 8提问于2011-01-26得票数 1
回答已采纳
5回答
我对这个话题很陌生,我想知道在深入到技术细节之前有盐散列的概念。
据我所知
密码-明文
哈希密码-使用不可逆的散列算法加密明文密码(单向)
咸散密码-随机文本+纯文本密码正在散列/散列(salt+plaintext)
彩虹表是从字典单词列表中预先计算出的散列结果列表,将散列密码与彩虹表中的列表进行比较,匹配将显示用户实际使用的密码。
因此,由于salt的随机值,相同明文密码中的2个将不具有相同的散列值。
salt有时使用散列密码存储。
从上面看,
我假设没有最大的密码尝试--拥有salt如何阻止恶意用户试图暴力--通过尝试随机密码(例如,在字典列表上)将密码强制进入系统?与实际用户相比,他们使
浏览 0提问于2015-07-17得票数 5
2回答
安全用户身份验证是如何工作的?
、、、、
当用户注册时,我接受他们的密码,并使用散列和盐保护它,然后将其存储到mysql DB中。那么,当注册用户尝试登录时,我如何检查密码是否有效?
我能想到的唯一方法是获得他们的密码,hash+salt它,然后检查hash+salt是否在数据库中。但我不确定这是如何安全的?因为这意味着我的代码将hash+salt任何密码并在DB中找到匹配的密码。
我读到了关于每次登录页面被点击时生成随机盐的内容,但这不意味着如果一个注册用户试图登录,就会生成一个新的散列,它将不同于同一用户注册时生成的散列。
如果有人能阐明这一点,我将不胜感激。我使用的是Java。
浏览 4提问于2013-06-10得票数 3
回答已采纳
2回答
密码散列
、
我使用以下代码存储用户密码。
string password = "...";
string user_salt = System.Web.Security.Membership.GeneratePassword(20, 5);
string common_salt = "...";
byte[] hash_target = Encoding.UTF8.GetBytes(password + user_salt + common_salt);
string password_hash = BitConverter.
ToString(new SHA512
浏览 0提问于2012-05-08得票数 1
回答已采纳
4回答
我在一个系统上工作,该系统一直在使用MD5 (无盐)散列用户密码。我想使用SHA-512和salt更安全地存储密码。
虽然这对于将来的密码来说很容易实现,但我也想对现有的MD5散列密码进行改造,最好不要强迫所有用户更改他们的密码。我的想法是只使用SHA-512和一个适当的盐来散列现有的MD5散列。然后,我可以在数据库中设置一些标志,指示哪些密码是从纯文本散列的,哪些密码是从MD5散列散列的。或者我可以在对用户进行身份验证时同时尝试这两种方法。或者甚至只是使用MD5和SHA-512/salt来散列新密码,这样它们就可以和旧密码一样被处理。
在编程上,我不认为这会是一个问题,但我对加密/散列的了解
浏览 1提问于2012-04-05得票数 9
回答已采纳
3回答
我正在尝试集成vBulliten和Django的用户数据库。我知道vB使用一种md5算法来散列它的密码,使用一个盐。我有每个vB用户的salt数据和密码,想知道如何将这些帐户导入到Django上。
我已经尝试了显而易见的方法,将Django用户的密码更改为;
md5$vb's_salt$vb's_password
这只是返回Django的登录表单,并显示一条消息“用户名和密码不匹配”
有什么想法吗?
浏览 0提问于2011-01-31得票数 1
2回答
在验证用户登录时,首先搜索用户名,如果找到,则检索散列的密码和salt并将其与用户输入进行比较,这样做是否安全?
或者,用户输入的用户名的salt是否应该自己检索,然后与输入的密码进行散列,并与数据库中的最终散列进行比较?
从本质上讲,在知道用户输入的密码是否有效之前,从数据库中存储输入用户名的密码是否安全?
浏览 3提问于2013-01-09得票数 2
我试图为Go服务器实现一个基本的身份验证系统,该系统由多个服务器生成的密码(基本上是令牌)的用户组成,这些密码必须安全地存储在数据库中。
实现这一目标的一种方法是使用单向函数和全局唯一的salt对密码进行散列。
但是,由于在我的示例中,用户有多个密码,这给身份验证带来了问题;每个用户的密码可能有不同的salt,因此服务器需要迭代数据库中的密码,使用与数据库中相同的salt散列所提供的密码,然后进行比较。这似乎没有效率。
或者,我可以放松对salt的“全局唯一”约束,并在创建用户时随机生成一个salt,并将其用于用户的所有密码。这样,我只需要散列用户提供的密码一次,然后可以使用SQL查询来执行身
浏览 6提问于2022-07-01得票数 0
回答已采纳
1回答
我应该在哪里创建密码盐
、、、
我一直在寻找创建密码salt的首选位置。
对我来说,在数据库级别创建密码salt并在数据库级别对输入的密码+ salt进行散列是有意义的。
但由于我是登录安全方面的新手,我想知道哪个位置最适合创建salt本身。
根据我所读到的内容,我已经创建了一个存储过程,它接受userlogin和password,并比较存储的盐连接,以验证输入的密码是否正确。
我现在需要知道的是,在新用户帐户上应该在哪里创建密码salt?
我的意图是,如果用户忘记了,我将拥有一个不可退还的密码。如果他们忘记了,它会给他们一个临时工,然后需要更改。同样,如果密码更改了,我也想相应地更改盐。
我对总体安全没有幻想,只想减轻这个
浏览 0提问于2013-07-08得票数 3
回答已采纳
3回答
一个客户有一个庞大的用户群,我需要以一种安全的方式加密/散列密码。问题是,我不能要求每个用户都更改他们的密码,并且密码已经用md5()进行了散列处理,而没有使用任何盐。一种方法是使用salt加密当前密码,当用户更改或重置密码时,我只需使用salt进行加密。
这样做有什么陷阱或或多或少明显的危险吗?我指的是sha1(md5(密码)和salt)?
谢谢您抽时间见我
浏览 1提问于2010-08-30得票数 1
回答已采纳
1回答
我使用HMACSHA256生成密码的散列并存储它。这里的目标是只对用户进行身份验证,即保存他们的散列密码,并在需要时使用散列密码验证用户。
// salt is a guid we store seperately, its the id of the user
byte[] GetHash(byte[] password, byte[] salt)
{
byte[] saltAndPassword = salt.Concat(password).ToArray();
var hmac = HMACSHA256();
hmac.Key = password;
浏览 0提问于2015-02-03得票数 1
登记册:
如果用户输入密码的两个文本框匹配,则进行比较:
将用户的电子邮件添加到数据库中的用户表中,以便有一个用户ID,以便稍后记录所有针对的内容。
制造盐。任何足够随机和足够复杂的东西都足够了。UserName+current dateTime - MD5哈希。GUID,UserName +随机数散列等。
将salt记录在DB中的Salt表中,旁边是用户ID和名称。
将用户密码和salt添加到一起。
使用Encryption1的散列
使用Encryption2的散列
在登记表中记录用户ID和他们提供的详细信息(如果有的话)。
可选的电子邮件验证发送出去,以确保他们使用的是合法的电子邮件。
登
浏览 0提问于2017-11-01得票数 0
回答已采纳
1回答
我最近了解到,为了安全地存储密码,您应该使用缓慢的密码散列函数和salt,并将散列的密码和salt存储在一些服务器中。
但是,我应该如何安全地存储脱机应用程序的密码呢?我担心,如果有人拿到了用户的手机,他们可能会从手机中获取存储所有敏感信息的文件,并获得散列,用于散列的盐,或者只是将散列密码替换为他们自己的散列密码。有什么技巧可以让我的离线应用程序的密码存储得更安全吗?
编辑:只是为了澄清,我更感兴趣的是保护用户的密码,而不是通过应用程序的入口。
浏览 0提问于2017-06-23得票数 0
2回答
我读过关于密码加盐的文章,但这听起来可能有点奇怪。但是我怎么储存和保护盐呢。例如,在多轮胎架构中,假设我使用客户机的GUID来生成我的盐,然后用户被限制在一台机器上,但是如果我使用随机的盐,那么它必须存储在某个地方。几天前,我看到了一个示例应用程序,其中每当创建新用户时,都会在客户端系统上生成散列和盐,然后将加盐的密码和散列传输到服务器,并将它们存储在SQL server中。但是,如果我按照这种方法操作,并且数据库遭到破坏,那么X person将可以使用密码和每个密码的Salt值。那么,我是否应该在服务器端再次对密码和接收到的salt进行salt/加密?腌制的最佳做法是什么?
浏览 0提问于2009-11-18得票数 13
回答已采纳
1回答
当我使用PBKDF2时,我正试图弄清楚如何在登录期间验证密码。我正在使用PHP,下面是一个基本的密码生成代码:
$salt = mcrypt_create_iv(16, MCRYPT_DEV_URANDOM);
echo hash_pbkdf2('sha256', 'password', $salt, 1000, 32);
我已将这个散列密码存储在数据库中。我不知道如何根据登录输入测试这个密码,因为我没有salt,每个用户都随机生成salt。我如何从存储的密码中“提取”盐,将其添加到输入的密码中,并根据存储的密码测试结果?
浏览 0提问于2014-08-27得票数 2
回答已采纳
到目前为止,我还没有经常使用它,我一直在使用在找到的hasher。然后,我在这里读到了另一篇文章,"",这是写的堆栈溢出。
摘录自他的职位:
下面是我使用的一步一步的方法:
用户创建密码(通过注册表单)一个函数创建一个随机盐,然后加密密码,在这种情况下,使用SHA256算法和使用随机创建的盐。
$password_salt = bin2hex(mcrypt_create_iv(32,MCRYPT_DEV_URANDOM));
$password_hash =散列(‘sha256’,$salt .( $password);
将$password_hash和$password_s
浏览 2提问于2011-11-30得票数 1
回答已采纳
我想知道怎样才能对密码进行加盐和散列?我在网上找到了很多关于它的例子,但我还是做不好。
我有以下代码来生成Salt和Hash
public static byte[] GetSalt()
{
var p = new RNGCryptoServiceProvider();
var salt = new byte[16];
p.GetBytes(salt);
return salt;
}
public static byte [] GetSecureHash(string password, byte[] salt)
{
Rfc2898Derive
浏览 6提问于2014-07-24得票数 0
3回答
我正在创建一个网站,需要用户授权才能访问一些功能。我目前正在研究用户如何创建帐户以及如何利用会话来授权他们的登录。用户信息存储在一个名为user的MySQL表中,该表可能包括用户名和密码的引用。
考虑到我还是一名新手,我一直在阅读密码散列/盐安全方面的知识,并希望得到一些PHP高手的支持。
我写了以下脚本:
define('SALT_LENGTH', 6);
function generateHash($plaintext, $salt==null){
if($salt == null){
$salt = substr(md5(uniqid(rand(
浏览 1提问于2012-07-23得票数 2
回答已采纳
1回答
我正在尝试将用户添加到ApacheDS目录(我正在使用.NET DirectoryServices应用程序接口),但在将条目保存到该目录时遇到错误。
据我所知,密码存储为Salted SHA散列,为了验证用户输入的密码,我需要知道原始散列,对吧?
使用Apache Directory Studio,我可以使用"Password Editor“查看原始的salt,因此salt显然存储在某个地方,那么我如何将salt存储在目录条目中,以便稍后可以将其检索到salt,并对用户输入进行哈希处理并检查存储的密码?
浏览 1提问于2015-01-29得票数 0
2回答
我发现了很多关于客户端散列的帖子,但没有一个能完全回答我的问题。
我想在客户端散列用户密码,这样我就不必在web上发送纯文本密码,但我有一个问题,当我使用salt时,我如何才能成功做到这一点。
验证密码的正常过程是..1)用户输入用户名和密码2)根据用户名恢复盐3)散列密码和盐4)根据数据库检查散列
如果所有这些都发生在服务器上,这没什么大不了的,但如果你在客户端,就会变得很复杂。2)必须是对服务器的回调,同时在某个地方维护密码(不张贴密码),所以..ajax?这是最好的方法吗?还是我错过了什么?
提前感谢!
浏览 1提问于2009-11-01得票数 1
3回答
我这里有一些登录系统的代码,这是纯粹的或学习的目的,在stackoverflow的一些伟大的人的帮助下创建的,他们告诉我不要将盐和散列分开存储,而是一起存储。我想知道当用户尝试登录时,我将如何比较密码。如果盐没有储存,我怎么能比较这两者。有人能帮上忙吗?
require("constants.php");
$DBH = new mysqli($dbhost, $dbuser, $dbpass, $dbname);
function createSalt() {
$length = mt_rand(64, 128);
$salt = '';
浏览 2提问于2010-12-16得票数 1
回答已采纳
我的web应用程序使用PHP函数进行密码散列。我想使用SHA256算法,所以我相应地生成了用户的salt字符串。问题是我没有意识到我使用的服务器(CRYPT_SHA_256)不支持SHA256。我刚刚将我的应用程序移到了另一台支持SHA256的服务器上,基本上我的用户都不能登录,因为他们的密码字符串和salt字符串生成的散列与前一台服务器上生成的散列不同。
你认为最好的解决方案是什么,而不是要求每个用户更改他们的密码?
提前谢谢你,我很欣赏任何有用的想法。
浏览 0提问于2014-11-07得票数 0
3回答
我已经成功地使用此方法进行了盐分和散列密码:
import hashlib, uuid
salt = uuid.uuid4().hex
hashed_password = hashlib.sha512(password + salt).hexdigest()
如何逆转此过程以恢复实际密码?
更新:您应该从用户那里获取密码,对他们的密码应用相同的salt和hash方法,然后将其与原始的盐渍/散列密码进行比较,以确定它们是否匹配。这很有道理。
浏览 3提问于2014-12-14得票数 0
回答已采纳
3回答
我刚刚读了很多关于用salt散列密码的文章,但是我只是找不到对我所拥有的特定查询/混乱的答案。
假设我刚刚完成了将密码和salt添加到DB中的方法:
创建一个随机盐
散列用户密码+ salt
将散列输出作为密码存储在“密码”列中
将随机盐存储在“盐”栏中
如果这是正确的,当攻击者访问我的数据库时会发生什么?当然,如果他们能够读取这个散列密码的盐值,他们就可以计算出没有盐的散列密码是什么,然后使用彩虹表?或者用可逆的东西加密盐值也是个好主意吗?
如果盐值是以纯文本形式存储的,我就是看不到它的意义。请指点我?
浏览 0提问于2011-11-29得票数 4
回答已采纳
1回答
为每个用户生成唯一的盐?
、、、
我想问一下,是否可以为每个用户生成一个惟一的salt,然后像sha1(sha1($password . $salt))一样对其进行散列,这样$salt就是一个随机生成的字符串?
如果是,我如何在登录时加密密码?
Xenforo使用这种方式,我想知道如果他们对每个用户使用唯一的盐,他们是如何加密密码的?
非常感谢。
浏览 0提问于2013-03-25得票数 0
回答已采纳
我有个问题。当我从数据库中检索盐值时,我的散列密码不等于我的数据库中的密码。
register.php
生成一个随机盐,将其添加到密码的末尾。
散列全部值。
将用户名、散列密码和salt插入数据库。
while($row){
$SALT = random_bytes(32);
$SALT = bin2hex($SALT);
$query = "SELECT 1 FROM usr_accounts WHERE SALT = :SALT";
$query_params = array(':SALT' =>
浏览 2提问于2017-02-03得票数 1
回答已采纳
2回答
我一直在一个ruby应用程序中创建加盐密码,这是我认为的标准方式:
password_salt = BCrypt::Engine.generate_salt
password_hash = BCrypt::Engine.hash_secret(params[:pword], password_salt)
但在检查一个测试用例时,它看起来就像是将盐放在哈希密码的前面:
现在,根据我对salt的理解,它应该在散列之前连接到密码上,以使密码超出任何预先计算的查找表、彩虹表等的大小范围。都不会包括。关键是,如果有人获取了您的用户数据库,他们仍然无法使用查找表破解密码。如果在散列后将盐放在密码
浏览 0提问于2019-06-21得票数 1
4回答
对于用户验证邮件,我想向用户发送一封电子邮件,其中包括基于用户id的安全散列和随机生成的salt。然而,php的所有函数都是针对密码哈希的,因此将salt存储在哈希中以进行密码验证。因为我打算向用户发送这个散列,所以没有必要这样做。
我知道md5函数,它不包括salt,但我认为md5哈希是不安全的。
有没有任何方法在php中散列一个字符串(最好用一行代码),然后返回一个没有盐分的纯散列?
浏览 3提问于2014-06-26得票数 0
回答已采纳
我们的服务器上没有明文的密码,我们希望散列用户在应用程序中输入的内容,然后将其发送到服务器(我们通过https发送它)。
我们有md5(密码)没有盐在服务器上,但一旦我们改变它为md5(password+salt)或md5(md5(密码)+salt),如果它是安全的!我读了这个问题:
但有个问题。如果服务器向应用程序发送salt,这是不安全的,因为下面这篇文章“在Web应用程序中,总是在服务器上散列”标题
所以如果我把md5(password+random位)+随机比特发送到服务器。服务器无法识别密码是否为真!因为服务器只有密码散列!
浏览 4提问于2015-07-27得票数 0
回答已采纳
5回答
我想知道以下设置的严重问题是什么:
用户名/口令登录方案Javascript/ajax向服务器请求salt值(我们在前面的问题中已经确定salt不是一个保密值) Javascript预置密码和salt的SHA1 (或其他)。Javascript/ajax将散列返回给服务器服务器在通过ajax发送的盐/散列之上应用另一个盐/散列。
事务是通过HTTPS进行的。
我担心可能存在的问题,但不能说服自己这是一个糟糕的设置。假设所有用户都需要启用javascript,因为jQuery在网站上的使用率很高。它基本上是试图在明文密码的基础上增加一层额外的安全层。
浏览 0提问于2010-09-16得票数 0
回答已采纳
2回答
公开暴露盐是可以接受的吗?
、、、、
我正在为一个移动应用程序构建一个REST。我需要处理身份验证。据我所知,这些是有关密码存储的最佳实践。
客户端的-注册
让用户选择密码
从强随机数生成器创建足够长的随机盐
将salt附加到密码并对其进行散列。
将散列和盐分发送到服务器并将其存储在数据库中。
服务器端登录在中
公开一个返回给定用户‘s(电子邮件)的用户salt的方法
客户端-在中登录
用户输入他的用户名和密码
检索给定用户the的salt
将salt附加到密码并对其进行散列。
将散列发送到服务器,检查其是否相同,并验证用户身份
显然,这种方法的每周点是攻击者可以毫不费力
浏览 3提问于2015-02-23得票数 4
回答已采纳
2回答
密码散列盐
、、
我问这个问题是为了有一个专业的意见,并检查我的假设是否正确。这个问题来源于我就SO:登录有问题我可以用任何用户名和密码登录交换的几点评论。
使用这三种不同的方法在DB中“保护”密码(伪代码):
第一:
global_salt = 'a salt string shared by your system and persistent in time'
hashed_password = hash( global_salt + password )
save(username, hashed_password)
二:
salt = generate_random_salt()
ha
浏览 0提问于2020-02-07得票数 0
回答已采纳
我们有一个用Rails构建的网站。用户注册通过Ruby中的站点进行处理,密码使用SHA1.HexDigest函数进行散列,每个用户都有不同的盐。我需要做的是-在PHP中创建一个the服务,它将登录已经在网站上注册的用户。为此,我需要从用户输入中产生相同的哈希。由于我对Ruby几乎一无所知,所以我做了很多关于如何用PHP复制相同内容的研究。我浏览了下面的链接,但没有结果。
Ruby还对输入进行多次处理/散列(即拉伸,在Ruby中可以称之为扩展)。
数据库中保存的散列长度为128个字符。盐的长度为20个字符。
不知道是不是也用了胡椒粉。
例如,
用户输入= 123456 salt = g0i3A5
浏览 1提问于2013-01-04得票数 2
6回答
PHP对密码进行哈希处理
、、、
好的。这很清楚,必须在数据库中存储散列密码,但如果用户不记得密码并想要找回它,那么很明显,用户不喜欢拥有散列密码。如果密码是用md5或其他像salt和sha1这样的散列,那么如何找回密码。
浏览 2提问于2010-09-01得票数 5
回答已采纳
2回答
我正在与一个宠物项目工作,我来到了一个点,我想添加用户注册支持。经过一些研究,我决定在我的数据库中保存散列密码和盐分,而不是原始密码。然而,我对这些步骤是什么以及按照什么顺序感到困惑。以下是我的假设:
Signup
客户端向服务器发送用户名和密码(https)
服务器获取密码,生成随机盐。
Base64编码盐
使用字符串盐类散列密码。
Base64编码密码
将密码和salt保存到数据库中
登录
客户端向服务器发送用户名和密码(https)
服务器获取用户名和密码,从数据库中查找散列psw和salt。
哈希密码使用salt,base64对结果进行编码
浏览 5提问于2013-01-24得票数 2
回答已采纳
4回答
我对哈希密码和Salt值有了一个想法。因为我对哈希和加密比较陌生,所以我想我应该把这篇文章寄给你。为每个用户帐户生成唯一的salt,然后将salt和散列值存储在数据库中是不是更安全?或者,将单个盐值安全地存储并在每次我散列密码时重复使用?
例如,用户将使用密码:
"secret"
我的代码将生成一个盐值:
"d1d0e3d4b3d1ed1598a4e77bb614750a2a175e"
然后对结果进行哈希运算,得到:
"e8187dcbe8e2eabd4675f3a345fe21c98affb
5544a9278461535cb67265b6fe09a
浏览 1提问于2010-07-28得票数 5
回答已采纳
1回答
我正在使用pbkdf2算法来散列密码。为每个密码生成一个随机盐,并设置迭代次数,以使计算持续约1秒。
我还将salt和hash保存在sambe缓冲区中:
-----------------------
| SaltLen | 4 |
-----------------------
| Salt | saltBytes |
-----------------------
| HashLen | 4 |
-----------------------
| Salt | hashBytes |
- --
浏览 10提问于2016-08-11得票数 0
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
