gpt4 book ai didi

php - 用户名、密码、加盐、加密、哈希——这一切是如何运作的?

转载 作者:IT老高 更新时间:2023-10-29 00:22:01 27 4
gpt4 key购买 nike

Possible Duplicate:
Secure hash and salt for PHP passwords

我在 stackoverflow 和其他网站上阅读了很多关于网络安全的帖子。例如加盐加密等。我有点不明白,所以简单的解释会很有帮助。

这就是我目前所知道的。用户登录时键入他的用户名和密码。输入然后经过一个过程。假设用户名和密码组合在一起,例如:

$username = (USERS USERNAME INPUT);
$password = (USERS PASSWORD INPUT);
$userinput = $username . $password;

然后我们加点盐。

$salt1 = "13$13aVc!kd";
$salt2 = "4kr$!vlmeoc";

$salted = $salt1 . $userinput . $salt2;

然后我们对其进行加密。

$encrypted = encrypt($salted);

然后检查数据库,是否有正确的用户登录。

这就是它的工作原理吗?但我读过暴力攻击。它猜对了输入值吗?通过上面的程序。不就说明攻击者只需要把$userinput信息弄对就可以进去了吗?他不需要猜测长长的 $encrypted 字符串是否正确?

注意:假设在这种情况下没有验证码,没有尝试次数限制,没有锁定,除了上面的那个没有别的。

注意:要温柔,我还在学习。

最佳答案

如果您排除验证码、尝试限制、锁定等……那么是的。您只需要暴力破解纯文本字符串即可。

但是,这确实需要时间 - 至少,它受限于服务器响应登录请求的速度。即使开发者不添加任何防止暴力破解的措施,服务器本身也只能如此快速地完成加密+验证过程,并且只能处理这么多并行请求。

也就是说,这就是为什么它很重要

  • 作为用户,使用强密码,难以暴力破解
  • 作为开发人员,有足够的措施来防止您的登录过程遭到暴力破解

散列密码和加盐密码并不是为了防止有人暴力破解自然登录过程(还有其他方法可以防止这种情况发生)。相反,它们是为了防止密码存储本身受到潜在危害(例如,有人转储数据库的内容)。

散列和加盐都会降低速度,在这种情况下,有权访问存储密码的人可以检索他们需要能够通过自然登录过程(的您的网站或其他网站,假设密码通常在网站之间共享)而不会触发反暴力破解安全措施。

关于php - 用户名、密码、加盐、加密、哈希——这一切是如何运作的?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14432733/

27 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com