个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
28
4
我正在使用 BCrypt 在服务器端对我的密码进行哈希处理。在将其存储到 MySQL 数据库之前,加密我的散列 BCrypt 密码会不会太过分,或者直接将散列存储在数据库中就足够了?
这个website建议对密码进行哈希处理后对其进行加密:
As long as an attacker can use a hash to check whether a password guess is right or wrong, they can run a dictionary or brute-force attack on the hash. The next step is to add a secret key to the hash so that only someone who knows the key can use the hash to validate a password. This can be accomplished two ways. Either the hash can be encrypted using a cipher like AES, or the secret key can be included in the hash using a keyed hash algorithm like HMAC.
编辑:我正在用 Java 编码。我正在尝试衡量增加的保护层与读取和检索用户登录密码的速度性能是否值得。
最佳答案
这确实会提高安全性,但最好了解加密究竟能带来什么。
这种情况并不像人们想象的那么罕见,典型的场景是 SQL 注入(inject)、丢弃备份、丢弃服务器......
为了能够暴力破解密码,需要服务器端 key ,该 key 用于加密密码哈希。这意味着,能够从数据库读取哈希值已经不够了,需要额外的权限才能从服务器读取 key 。获得服务器上的权限比读取数据库要困难得多。
Crackstation 是一个提供建议的好网站。在我自己的关于safely storing password的教程的最后我尝试解释这种密码哈希加密的细节。
关于mysql - 对已经散列的 BCrypt 密码进行加密是否太过分了?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/52787638/
28
4
0
需要帮助将这些给定的数字打印成星号,但我是编程新手;我该怎么做? #include int main(void) { int a[5]={20,1,5,15,12}; int i=0
使用 Delphi XE 2 我试图确定缩放方向以将缩放效果应用于图像(TImage),但没有找到执行此操作的函数,并且图像的 OnGesture 事件中的 EventInfo 属性没有此信息. 我见
我不知道制服在内存中是如何表示的。 制服似乎会占用宝贵的寄存器空间,但它们最终会传入/通过/传出到全局内存中,对吗? 制服不用时情况会发生变化吗?编译器可以将它们优化掉吗?--在这种情况下,我已经将无
我正在尝试在名为“timeclock”的模型上记录“time_in”和“time_out”记录。这是我想做但无法开始工作的事情! 检查最后一个时钟条目,看看它是否同时填充了“time_in”和“tim
我想听听您如何解决这种编程任务!?每种类型(OPER = 1 类型)对应一种特定的信息。 这只是大约 10 个具有相同结构的规范之一。首选创建这些“转换器”(协议(protocol))的通用方法。 最
我正在使用 Rest API(NodeJS、Express)和 PostgreSQL 制作 React-Native 应用。 在我的本地机器上托管时一切正常。当 API 托管在我的机器上并且 Post
我是一名优秀的程序员,十分优秀!