gpt4 book ai didi

passwords - 应该如何防御离线暴力密码攻击?

转载 作者:行者123 更新时间:2023-12-01 12:01:41 26 4
gpt4 key购买 nike

我想知道像

这样的密码加盐和散列是否是一种常见的做法

E(填充||散列(盐||密码))

哪里||是连接,例如 E 使用 RSA。我主要问这个问题是为了传输密码数据库(不是在线存储,服务器将始终拥有私钥来解密加密密码)。

我知道加密哈希应该是不可逆的,但是对弱密码的离线暴力攻击很容易泄露密码。为了最终解密此数据库中的记录,服务器将知道填充的长度并简单地删除填充以显示哈希(salt || password)。

这不是一个典型的问题,但我找不到关于必须正确传输密码数据库并防御离线攻击的人的引用资料。

最佳答案

用强的东西加密密码文件,那么密码在文件中的存储方式就无关紧要了。

即。使用 PGP 之类的东西进行传输。

我注意到这个答案在其他人投票之前曾被否决过一次,我只是想我会澄清一下,因为我怀疑对我的回答投反对票的人实际上并没有读过这个问题。另一方面,对于提出问题的人来说,可能无法对整个文件进行完全加密。如果是这样的话,这将是对问题的一个方便的澄清。

无论如何,这个问题明确指出这是关于传输数据(基础)的。它还明确指出,这与在线存储和使用无关。

因此,对整个文件使用安全可靠的加密方法确实是最好的方法,因为这样您就不必局限于必须操纵文件内容来试图掩盖每个单独的密码。

相反,整个文件将毫无意义,如果要传输的不仅仅是密码文件,它将与更多数据混为一谈,从而与更多数据一起加密,从而使识别密码的过程成为可能也几乎不可能。

如果您选择信誉良好的加密算法和实现(PGP、GPG 等),那么对此类加密文件的攻击成功的可能性要小得多,而不是您自己发明一些东西,或者至少让攻击者以小块的形式找到个人密码。

关于passwords - 应该如何防御离线暴力密码攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/747394/

26 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com