将盐放在源代码中是不是更安全?
将盐放在源代码中并不安全。盐(salt)是在密码哈希过程中添加的随机字符串,用于增加密码的复杂度和安全性。将盐放在源代码中会导致盐的值被公开,从而降低密码的安全性。
源代码通常是公开的,因此任何人都可以访问和查看源代码。如果盐被放在源代码中,攻击者可以轻松获取盐的值,并使用该盐对密码进行破解。这种情况下,即使密码本身很强大,但由于盐的泄露,密码的安全性也会大大降低。
为了确保密码的安全性,盐应该是随机生成的,并且与每个用户的密码单独存储。这样即使攻击者获取了密码哈希值,也无法轻易破解密码,因为他们无法获得盐的值。
在云计算领域中,腾讯云提供了一系列安全产品和服务,用于保护用户的数据和应用程序。其中包括身份认证服务、访问控制、数据加密、漏洞扫描等。通过使用这些安全产品和服务,用户可以提高其云计算环境的安全性。
总结起来,将盐放在源代码中是不安全的做法。为了保护密码的安全性,盐应该是随机生成的,并与每个用户的密码单独存储。腾讯云提供了一系列安全产品和服务,用于保护用户的数据和应用程序。
相关·内容
1回答
将盐放在源代码中是不是更安全?如果数据库被盐破坏了,那么一切都会丢失..但是如果他们只有散列,他们就不能用它做任何事情..如果盐在源代码中,你可以使用他们的userid或其他东西吗?任何人都知道..
浏览 6提问于2018-08-13得票数 2
回答已采纳
防伪令牌接受盐值。是否有任何关于选择盐的安全问题,例如
另外,客户端是否可以查看盐分值?看一下源代码,它似乎将盐值放在cookie的前面。
浏览 7提问于2012-02-25得票数 16
回答已采纳
在散列之前将存储在代码中的常量字符串添加到密码中是否会使攻击者更难弄清楚原始密码?
这个常量字符串是对盐的补充。数据库包含对应于每个密码的盐,因此他们将知道用什么来盐他们的暴力破解尝试。但是,使用代码中的常量字符串,攻击者还必须获得源代码,才能知道在每次暴力尝试后添加什么内容。我认为它会更安全,但我想了解其他人的想法,并确保我不会无意中让它变得不那么安全。
浏览 1提问于2011-03-22得票数 1
2回答
我一直在一个ruby应用程序中创建加盐密码,这是我认为的标准方式:password_hash = BCrypt::Engine.hash_secret(params[:pword], password_salt)
现在,根据我对salt的理解如果在散列后将盐放在密码前面,并且黑客已经下载了用户表,则它不会执
浏览 0提问于2019-06-21得票数 1
我在ASP.Net Web应用程序中的登录功能,我打算用一种更好的安全方式,所以我用谷歌搜索了很多,最后我找到了: CrackStation.net。这真的很神奇..。问题是他们没有提到如何在数据库中存储盐和散列密码。这是一个在破解站找到的代码。我还有一个可以在浏览器中运行的。我想知道如何在数据库中存储密码(slat和hash都连接并保存在一列中)或(每个都在不同的列中,例如盐是盐列,哈希是哈希列)…
请一步一步地解
浏览 0提问于2014-12-01得票数 0
4回答
为每个用户帐户生成唯一的salt,然后将salt和散列值存储在数据库中是不是更安全?或者,将单个盐值安全地存储并在每次我散列密码时重复使用?例如,用户将使用密码:我的代码将生成一个盐值:然后对结果进行哈希运算,得到:
"e8187dcbe8e2eabd4675f3a
浏览 1提问于2010-07-28得票数 5
回答已采纳
>$stored_password=fetch_password($user);// ok因此,当我看到盐存储在散列密码中,并且您将该散列密码用作盐时,我认为Crypt + salt并不能更安全地防止对输出的暴力攻击(设法窃取散列密码的黑客是不是
浏览 2提问于2011-12-27得票数 5
回答已采纳
1回答
我正试图找出最安全可行的方法,安全地将用户密码存储在数据库中。记住,这是我今天才开始探索的一个课题。方法1生成一个随机盐,添加到用户密码中以创建哈希。将散列存储在db中,也将随机盐存储在db中。
方法2根据用户的详细信息构建一个salt。例如,可能是代表UserID的GUID的一部分或其电子邮件地址的一部分。将该盐附加到密码和散列
浏览 9提问于2022-10-10得票数 1
是否有一种方法或任何优势来拥有一个全系统的盐和一个特定于用户的盐与一个用户特定的盐?如果是这样的话,我怎样才能用这个功能来存档呢?是否有一种方法将其内部盐生成器替换为比它更安全或更安全的内容,然后只将盐的用户部分存储在用户表中?
如果使用系统salt,它将存储在特定服务器中的不同位置。
浏览 0提问于2014-12-12得票数 0
我来自PHP/Rails背景,在那里部署网站通常意味着通过FTP/Checkout将源代码放在web服务器上的正确目录中。然而,有人要求我开发一个ASP.NET网站,有些人建议我“发布”这个网站,而不是直接复制源代码。显然,这会将代码隐藏(.cs)文件转换为已编译的DLL等文件。我的问题是这是不是一个好主意?如何不让C#代码驻留在服务器上使应用程序更安全?
浏览 0提问于2010-11-15得票数 3
回答已采纳
4回答
哈希盐类综合信息
、、、、
假设数据库受到破坏,每个用户的salt将防止使用通用彩虹表破解密码。为了获得密码,必须为每个拥有唯一盐的用户生成单独的彩虹表。这将是一个耗时的过程,这是什么使盐类有效。这就引出了一些问题:
第二个硬编码应用程序宽盐会增加巨大的安全性吗?盐的最佳长度是多少?显然,越长越好,但是随着用户数量越多,数据库大小就成
浏览 9提问于2009-11-16得票数 5
回答已采纳
2回答
我正在使用php,我希望将密码存储在mysql数据库中。我想知道使用盐渍散列或openssl加密会更安全吗?如果我为每个用户使用一个唯一的随机生成的盐度哈希,并将salt存储在数据库中,是否有人可以找到该盐并对其进行解密?或者,如果我使用openssl_public_encrypt函数使用公钥加密密码,这是否更安全,那么使用咸散列表是否更安全?
浏览 0提问于2012-06-01得票数 6
回答已采纳
1回答
Nodejs bcrypt库
、、、、
//Set session data and redirect to restricted area
}}2.在生成散列时,类似于将盐放在密码前面。我不需要把盐保存在db里吗?
感谢您的任何帮助
浏览 3提问于2012-05-28得票数 8
回答已采纳
3回答
我没有任何网络安全知识,并且试图安全地将密码存储在数据库中。我知道我需要使用salt,以避免彩虹表的攻击,并确保具有相同密码的两个用户具有不同的密码散列。
然而,盐的复杂性有问题吗?我计划简单地使用用户的id (每次创建新帐户时都会增加一个整数),但是它是否足够好,还是应该生成一个更复杂的盐呢?
浏览 0提问于2020-11-08得票数 21
回答已采纳
3回答
最终密码盐
、、
因此,我试图编写自己的函数,以保护php中的密码。
但是,当涉及到加密密码时,我有点困惑。我们创建一个随机的唯一盐,并将其附加到密码中,然后对其进行散列,最后将未散列的盐分和散列密码/盐分组合存储在数据库中。这增加了黑客的搜索空间,如果他能够访问数据库和我们的散列密码。因此,这似乎是完全过度的安全性,但无论我看到任何地方,盐总是附加在密码的前面或后面无论如何。因此,查看单个用户的密码,这个唯一的salt不会影响搜索空间,对吗?虽然每个用户都有一个唯一的
浏览 2提问于2013-01-25得票数 2
回答已采纳
6回答
我的理解是,盐并不是要保密,它只是不同于任何集中式标准,这样你就不能开发彩虹表或类似的攻击来破解使用该算法的所有散列,因为盐会破坏彩虹表。我在这里的理解可能并不完全正确,所以如果我错了,请纠正我。在一个广泛使用的开源软件中,盐是广为人知的,这使你很容易受到攻击,因为现在他们可以简单地攻击你的哈希的加盐版本,并创建包括盐数据的彩虹表。
在我看来,有两个选项来处理这个问题。缺点是,盐必须以某种方式与密码散列关联,可能只需将它们粘贴在数据库中的密码旁边即可。甚至可以使用用户名
浏览 1提问于2009-10-30得票数 25
回答已采纳
我和一位同事争论,他认为SHA256 (密码+ 64字符静态盐)是“不安全的”。我的论点是,密码学中没有任何东西是“安全的”,这都是一个滑动的尺度,而这种组合所需的时间太长了(我认为30年以上),所以在所有意图和目的上,它都是“安全的”。我同意使用Bcrypt之类的东西“更安全”,但我不认为上述“不安全”,因为破解这样的东西很困难。如果我们考虑摩尔定律,哪一个论点是正确的?如果我们把64个字符的盐改成128个字符的盐
浏览 0提问于2021-01-22得票数 1
3回答
我想使用crypt()来散列我将存储在数据库中的密码。我还知道我需要使用salt,这样它才能正常工作,而且我已经读过生成随机盐的最好方法是使用或类似的东西。如果我正确理解,这个过程是这样的:
将其与存储在数据库中</e
浏览 5提问于2014-01-23得票数 3
回答已采纳
2回答
它输出如下所示的Blowfish散列:
如果有人得到了这个散列,那么如何确保哈希本身中的盐分是安全的人们说Blowfish是最安全的加密,但是像SHA-256这样的哈希加密没有显示在哈希本身中使用或不使用什么盐类,这看起来更安全。散列中的盐点不是用来向散列中添加随机性的吗?如果您将随机性作为散列的一部分,那么它如何
浏览 1提问于2014-04-16得票数 0
假设密码文件中只有一个散列密码。我的逻辑是:
是的,因为盐有助于防止彩虹表和字典攻击。这样才能让它更安全?
浏览 0提问于2015-11-13得票数 3
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
