咸散列密码认证
我一直在阅读OWASP10,我遇到了存储信息的最佳实践。咸杂碎。在这里,您为每个密码生成一个随机的salt,并对其进行梳理、散列和存储。我的疑问是,如果salt是随机生成的,当用户键入密码时,如何对密码进行身份验证?salt是否与用户名一起保存?如果是这样,这种做法仍然是脆弱的。或者他们是怎么做到的?
共有1个答案
salt与用户名一起保存。盐不是秘密。salt的重点是确保如果两个人有相同的密码,他们将不会有相同的哈希密码。这可以防止预先计算的哈希攻击(彩虹表),并防止泄露数据库中的两个用户拥有相同的密码。
虽然每个用户的随机盐是理想的,但盐的好处也可以通过确定性但独特的盐来实现。例如,您可以为数据库使用一些固定字符串,并将其与用户ID(com.example.mygreatsystem:user1@example.com)联接,并将其用作salt。由于它对每个用户都是唯一的(不仅仅是在这个系统中,而是在全球范围内),所以它可以实现与随机salt相同的目标,而不需要额外的数据库查找。像随机盐一样,这个方案不需要是秘密的。盐的重要部分是它是独一无二的。但在实际情况下,与用户记录一起存储足够长度的每个用户随机盐(通常为8个随机字节)是最佳做法。
-
我正在尝试将用户从旧的Drupal6 CMS迁移到KeyCloak。我想迁移用户与他们的旧密码,然后分配一个“更新密码”要求的行动到他们的个人资料。 然而,迁移密码似乎有问题,因为我只能以散列形式访问它们。 null 有没有人有幸让这个功能发挥作用?
-
我在谷歌上搜索过正确的方法,但是有很多不同的方法。所以我想出了这个,不介意一些批评和更好实践的链接。 //注册表格-用户提供用户名(电子邮件)密码(文本)// 所以我抓取数据: 然后将user_email| encrypted_pass|salt插入数据库 //登录表单-用户提供用户名(电子邮件)密码(文本)// 所以首先根据用户(电子邮件)我抓取encrypted_pass和盐信息。然后 我读过
-
在我的登录PHP文件中,我有这些 在我的注册PHP文件中,我有这个。 现在,基本上我使它哈希密码,并插入自己的数据库注册。确实如此。 然而,它无法核实。这两个结果给出了两个不同的哈希,我不知道我可能做错了什么。我也试着让它再次散列输入并检查数据库中的password_hash,但那不起作用... 正确的使用方法是什么? (另外,$passSign和$userInput是输入字段,它确实获取用户名/
-
问题内容: 我需要对密码进行哈希处理以存储在数据库中。如何用Java做到这一点? 我希望使用纯文本密码,添加随机盐,然后将盐和哈希密码存储在数据库中。 然后,当用户想要登录时,我可以使用其提交的密码,从其帐户信息中添加随机盐,对其进行哈希处理,然后查看其是否等同于其帐户信息所存储的哈希密码。 问题答案: 实际上,你可以使用Java运行时内置的工具来执行此操作。Java 6中的SunJCE支持PBK
-
我试图在我的datacontracts中对我的datamembers密码进行哈希/盐析,但当我添加一个新的学生,然后获取该学生集合时,密码字段尚未进行哈希/盐析,它会返回我键入的内容? 有人能帮我修一下吗?
-
我正在为拉拉维尔创建一个散列密码。现在有人告诉我使用Laravel哈希助手,但我似乎找不到它,或者我找错了方向。 如何创建laravel散列密码?在哪呢? 编辑:我知道代码是什么,但我不知道在哪里和如何使用它,所以它返回给我散列密码。如果得到散列密码,就可以手动将其插入数据库