gpt4 book ai didi

cryptography - 实现 CRAM-MD5 是个好主意吗?

转载 作者:行者123 更新时间:2023-12-02 22:23:57 32 4
gpt4 key购买 nike

我正在编写一个 SMTP 服务器并实现了 CRAM-MD5 身份验证。为了计算质询响应字符串,我显然需要在服务器上存储明文密码。

这背后的原因是什么?这种身份验证机制似乎存在难以置信的缺陷,前提是:

  • CRAM-MD5 需要在服务器上存储明文密码
  • CRAM-MD5 使用已损坏的 MD5

对我来说,CRAM-MD5 确实不如 PLAIN/LOGIN 身份验证安全,前提是始终需要 TLS。

最佳答案

是的,由于密码重用,存储密码,即使是可逆加密,也比某种加盐哈希更糟糕。可以说,从明文密码(如通过 PBKDF2 或常规加盐哈希)生成一些东西,然后在双方使用它会更安全一些。但是,它要求客户端了解服务器的散列​​方案,包括用于此帐户的盐。无论您如何分割它,都会留下一些与 CRAM-MD5 不兼容的东西,而且不一定更好。

由于这个问题和其他问题,我建议完全忘记 CRAM-MD5。特别是,它使用MD5,这被认为是坏的,并且有various known weaknesses .最大的特点是连接未加密,因此任何人都可以嗅出实际内容。

更好的答案是只使用 TLS。

关于cryptography - 实现 CRAM-MD5 是个好主意吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/13259518/

32 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com