安全保存用户密码的几大准则

论坛 期权论坛 编程之家     
选择匿名的用户   2021-6-2 15:58   1563   0
  1. 密码要哈希。如果明文密码被攻破,那么该用户使用相同密码的所有账户都很危险。
  2. 哈希要加盐。简单哈希(md5/sha1),很容易被撞库或查表。
  3. 加盐要随机。加个123之类的盐和不加区别不大。
  4. 服务端哈希。客户端哈希有用没?有。至少可以避免在客户端网络明文密码被截取,但足够么?不够。攻击者只要拿到哈希,就当密码一样用而无需知道密码。
  5. 慢运算。这是关于 Timing Attack 的,当然在web场景下不太适用,天朝的网络环境都懂,外网响应时间及其不稳,很难做 Timing Attack,但内网环境以及单机环境的其它应用可能需要。
回复
分享到 :
0 人收藏
返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

16级独孤
选择匿名的用户

积分:3875789
帖子:775174
精华:0
+ 关注 私信
期权论坛 期权论坛
期权网络科技版权所有
关于我们
联系我们
加入我们
反馈问题
免责声明
积分充值
统一社会信用代码
积分规则
网站地图
爱文库
下属网站
官方
新浪微博
微信公众号
下载
表情包
App下载
期权论坛 期权论坛

QQ咨询|关于我们|Archiver|手机版|小黑屋|( 辽ICP备15012455号-4 ) Powered by 期权论坛 X3.2 © 2001-2016 期权工具网&期权论坛 Inc.

发布
内容

下载期权论坛手机APP