- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我希望我没有创建重复的问题。我试图寻找已经存在的问题,但我没有找到任何东西。
我已经成功地建立了一个数据库,其中包含用于登录的用户名、salt 和散列密码。为了检查密码,我将生成的哈希值与数据库中的哈希值进行比较,请参见下面的代码。
password_hashed_from_user = res[0][0]
salt = res[0][1]
key_generated = hashlib.pbkdf2_hmac('sha256', password.encode('utf-8'), base64.b64decode(salt.encode('utf-8')), 100000, dklen=128)
key_encoded = base64.b64encode(key_generated).decode('utf-8')
if key_encoded != password_hashed_from_user:
logging.debug("Password was wrong:\n{}\n{}".format(key_encoded, password_hashed_from_user))
return "Username and/or password incorrect", False
现在的问题是我希望用户能够完全匿名,这意味着我希望用户能够使用生成的 token 进行身份验证,无法追溯到他的帐户.
因此,我需要将 token 存储在一个单独的表中,而不是与具有凭据的表相关联。为了让用户无法作弊,而只是在每次登录时向服务器请求一个新 token (并因此充当新用户),我想根据凭据计算 token 。
所以我想,我可以只使用一个单独的盐并根据密码创建一个新的散列(使用与代码示例中相同的方法)。由于密码本身并未存储在服务器上,因此如果没有用户本身的密码,则无法生成此哈希值。
这样,生成的 token 总是相同的,只要盐没有改变。因此我可以确保特定用户始终被识别为同一用户,同时该用户可以确保我无法追溯他的操作。
背景
背景是我需要创建一个投票环境,人们必须在其中注册并证明自己以防止重复投票,但投票结果以及参与等不应追溯到特定用户.由于这是我研究中的一个项目,我不能只使用现有的框架/库。
现在我的问题:
在同一台服务器上存储相同密码的两个不同哈希值是否安全,或者重复是否可以重新创建实际密码?两种盐将与其中一种哈希一起存储。另一个散列将在一个单独的、不相关的表中。
我总是在那个级别的加密方面遇到一些困难。
最佳答案
Is it safe to store two separate hashes of the same password with different salts on the same server or would the duplication make it feasible to recreate the actual password?
是的,它是安全的。
该声明背后的基本思想是盐将足够的唯一性“注入(inject)”到密码哈希可以使用的过程中,以确保两种不同的盐产生看起来不相关的哈希。一个真实的例子是担心两个不同的用户拥有相同的密码(但不同的盐)——这也不会泄露任何关于密码的信息,这也是引入盐的主要动机之一。
更加密的论点是要么你假设你的散列像一个随机预言机 - 它为唯一输入产生不相关的随机输出 - 在这种情况下,盐的唯一性隐藏了所有输出。或者你使用一个较弱的假设,即你的密码哈希是一个随机提取器,结合了一个伪随机函数(对于基于密码哈希的密码哈希来说并非不合理),密码输入中有 key 。在这种情况下,假设密码未知且足够随机,所有唯一的盐都将映射到与随机输出无法区分的字符串,因此无法产生有关输出的任何信息。
或者你也可以使用 Bellare, Ristenpart and Tessaro's definition对于密码散列安全性,本质上说“破解密码散列与猜测密码一样困难,如果所述散列是好的”。
关于python - 使用两个不同的盐对密码进行两次散列并将两个散列保存在同一台服务器上是否安全,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64542796/
我喜欢 smartcase,也喜欢 * 和 # 搜索命令。但我更希望 * 和 # 搜索命令区分大小写,而/和 ?搜索命令遵循 smartcase 启发式。 是否有隐藏在某个地方我还没有找到的设置?我宁
关闭。这个问题是off-topic .它目前不接受答案。 想改进这个问题? Update the question所以它是on-topic对于堆栈溢出。 10年前关闭。 Improve this qu
从以下网站,我找到了执行java AD身份验证的代码。 http://java2db.com/jndi-ldap-programming/solution-to-sslhandshakeexcepti
似乎 melt 会使用 id 列和堆叠的测量变量 reshape 您的数据框,然后通过转换让您执行聚合。 ddply,从 plyr 包看起来非常相似..你给它一个数据框,几个用于分组的列变量和一个聚合
我的问题是关于 memcached。 Facebook 使用 memcached 作为其结构化数据的缓存,以减少用户的延迟。他们在 Linux 上使用 UDP 优化了 memcached 的性能。 h
在 Camel route ,我正在使用 exec 组件通过 grep 进行 curl ,但使用 ${HOSTNAME} 的 grep 无法正常工作,下面是我的 Camel 路线。请在这方面寻求帮助。
我正在尝试执行相当复杂的查询,在其中我可以排除与特定条件集匹配的项目。这是一个 super 简化的模型来解释我的困境: class Thing(models.Model) user = mod
我正在尝试执行相当复杂的查询,我可以在其中排除符合特定条件集的项目。这里有一个 super 简化的模型来解释我的困境: class Thing(models.Model) user = mod
我发现了很多嵌入/内容项目的旧方法,并且我遵循了在这里找到的最新方法(我假设):https://blog.angular-university.io/angular-ng-content/ 我正在尝试
我正在寻找如何使用 fastify-nextjs 启动 fastify-cli 的建议 我曾尝试将代码简单地添加到建议的位置,但它不起作用。 'use strict' const path = req
我正在尝试将振幅 js 与 React 和 Gatsby 集成。做 gatsby developer 时一切看起来都不错,因为它发生在浏览器中,但是当我尝试 gatsby build 时,我收到以下错
我试图避免过度执行空值检查,但同时我想在需要使代码健壮的时候进行空值检查。但有时我觉得它开始变得如此防御,因为我没有实现 API。然后我避免了一些空检查,但是当我开始单元测试时,它开始总是等待运行时异
尝试进行包含一些 NOT 的 Kibana 搜索,但获得包含 NOT 的结果,因此猜测我的语法不正确: "chocolate" AND "milk" AND NOT "cow" AND NOT "tr
我正在使用开源代码共享包在 iOS 中进行 facebook 集成,但收到错误“FT_Load_Glyph failed: glyph 65535: error 6”。我在另一台 mac 机器上尝试了
我正在尝试估计一个标准的 tobit 模型,该模型被审查为零。 变量是 因变量 : 幸福 自变量 : 城市(芝加哥,纽约), 性别(男,女), 就业(0=失业,1=就业), 工作类型(失业,蓝色,白色
我有一个像这样的项目布局 样本/ 一种/ 源/ 主要的/ java / java 资源/ .jpg 乙/ 源/ 主要的/ java / B.java 资源/ B.jpg 构建.gradle 设置.gr
如何循环遍历数组中的多个属性以及如何使用map函数将数组中的多个属性显示到网页 import React, { Component } from 'react'; import './App.css'
我有一个 JavaScript 函数,它进行 AJAX 调用以返回一些数据,该调用是在选择列表更改事件上触发的。 我尝试了多种方法来在等待时显示加载程序,因为它当前暂停了选择列表,从客户的 Angul
可能以前问过,但找不到。 我正在用以下形式写很多语句: if (bar.getFoo() != null) { this.foo = bar.getFoo(); } 我想到了三元运算符,但我认
我有一个表单,在将其发送到 PHP 之前我正在执行一些验证 JavaScript,验证后的 JavaScript 函数会发布用户在 中输入的文本。页面底部的标签;然而,此消息显示短暂,然后消失...
我是一名优秀的程序员,十分优秀!