- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我想知道像
这样的密码加盐和散列是否是一种常见的做法E(填充||散列(盐||密码))
哪里||是连接,例如 E 使用 RSA。我主要问这个问题是为了传输密码数据库(不是在线存储,服务器将始终拥有私钥来解密加密密码)。
我知道加密哈希应该是不可逆的,但是对弱密码的离线暴力攻击很容易泄露密码。为了最终解密此数据库中的记录,服务器将知道填充的长度并简单地删除填充以显示哈希(salt || password)。
这不是一个典型的问题,但我找不到关于必须正确传输密码数据库并防御离线攻击的人的引用资料。
最佳答案
用强的东西加密密码文件,那么密码在文件中的存储方式就无关紧要了。
即。使用 PGP 之类的东西进行传输。
我注意到这个答案在其他人投票之前曾被否决过一次,我只是想我会澄清一下,因为我怀疑对我的回答投反对票的人实际上并没有读过这个问题。另一方面,对于提出问题的人来说,可能无法对整个文件进行完全加密。如果是这样的话,这将是对问题的一个方便的澄清。
无论如何,这个问题明确指出这是关于传输数据(基础)的。它还明确指出,这与在线存储和使用无关。
因此,对整个文件使用安全可靠的加密方法确实是最好的方法,因为这样您就不必局限于必须操纵文件内容来试图掩盖每个单独的密码。
相反,整个文件将毫无意义,如果要传输的不仅仅是密码文件,它将与更多数据混为一谈,从而与更多数据一起加密,从而使识别密码的过程成为可能也几乎不可能。
如果您选择信誉良好的加密算法和实现(PGP、GPG 等),那么对此类加密文件的攻击成功的可能性要小得多,而不是您自己发明一些东西,或者至少让攻击者以小块的形式找到个人密码。
关于passwords - 应该如何防御离线暴力密码攻击?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/747394/
我正在 node.js 中开发一个项目,该项目使用 mongoose 来处理 MongoDB。我想防御 XSS 攻击。建议的方法是什么?我找到了这个: https://www.npmjs.com/pa
如果某些 .html 文件只能通过密码匹配(在 PHP 中实现)与数据库中的哈希码来访问,用户仍然可以猜测可能的 .html 文件名并看到所谓的特权页面。查看特权页面的源代码,然后用户可以看到在该 .
问题 我们需要防御 Java 应用程序中的“WAITFOR DELAY”sql 注入(inject)攻击。 背景 [这很长。跳至“解决方案?”如果您很着急,请参阅下面的部分] 我们的应用程序在访问数据
我正在使用backbone和node.js创建一个网站,并且不认为默认情况下有任何针对CSRF的保护。在使用 Node.js 和 Backbone 时,是否有针对 CSRF 的标准方法?谢谢 最佳答案
我是一名优秀的程序员,十分优秀!