安全保存用户密码的几大准则

论坛 期权论坛 编程之家     
选择匿名的用户   2021-6-2 15:58   1553   0
  1. 密码要哈希。如果明文密码被攻破,那么该用户使用相同密码的所有账户都很危险。
  2. 哈希要加盐。简单哈希(md5/sha1),很容易被撞库或查表。
  3. 加盐要随机。加个123之类的盐和不加区别不大。
  4. 服务端哈希。客户端哈希有用没?有。至少可以避免在客户端网络明文密码被截取,但足够么?不够。攻击者只要拿到哈希,就当密码一样用而无需知道密码。
  5. 慢运算。这是关于 Timing Attack 的,当然在web场景下不太适用,天朝的网络环境都懂,外网响应时间及其不稳,很难做 Timing Attack,但内网环境以及单机环境的其它应用可能需要。
分享到 :
0 人收藏
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

积分:3875789
帖子:775174
精华:0
期权论坛 期权论坛
发布
内容

下载期权论坛手机APP