保存散列哈希以不以清除方式传输密码?
保存散列哈希以不以清除方式传输密码?
提问于 2021-03-24 18:05:53
好的,下面是交易:(这是一个假设的场景)
比如说,由于某种原因,我有一台服务器(例如,遗留服务器)无法在网络上传输密码时使用加密。
我仍然希望将我的密码安全地存储在数据库中,例如,作为像bcrypt这样的专用密码哈希。当然,这意味着我不能在客户端散列它们并比较两个散列服务器端。
现在我的想法是:如果我在数据库中存储一个bcrypt哈希,例如,明文密码的SHA-256哈希,那么我可以通过网络计算明文密码的SHA-256哈希,并将其与服务器端SHA-256哈希的bcrypt哈希进行比较。
主要问题是:
- 是安全的,还是让我受到某种我现在没有想到的攻击?
- 这种方法真的能给我带来什么好处吗?还是我只是在追逐自己的尾巴?
回答 1
Stack Overflow用户
回答已采纳
发布于 2022-03-09 16:16:30
这里的问题是,如果您想像我所描述的那样比较散列,根据定义,您必须使用确定性散列函数,这意味着不可能有像BCrypt这样的正确密码散列中存在的变量元素。每次验证时,您发送的散列都必须是相同的。
这意味着,如果观察到通信,这种方法将保护用户的明文密码,并且在密码数据库被解除时保护用户,但它不能解决过境安全问题。
未加密的连接意味着您的通信可能被观察到。因为每次登录时,您都会通过网络发送相同的哈希值,因此,任何设法拦截一个通信的人都可以冒充您,并访问所涉系统。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/66786824
复制相关文章
相似问题
腾讯云开发者
