腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
视频
沙龙
1
回答
Django:如果有人有权访问数据库,django将如何使用散列来防止知道密码
我发现Django使用<algorithm>$<iterations>$<salt>$<hash>格式来存储散列密码 假设有人有访问数据库的权限。 从上面的格式可以知道salt、算法和迭代。那么从暴力破解或彩虹表中找到密码是困难的吗?
浏览 1
提问于2020-02-04
得票数 0
2
回答
链式哈希算法是哈希密码的最终解决方案吗?
、
、
、
假设我的密码是一个简单的密码,123456 然后,如果公开了数据库,如果密码是: --以纯文本形式存储,->破解 --用盐进行散列的->彩虹表不太有效,因为每个盐都需要一个特定的彩虹表,但最终至少可以破解一个重要的密码。 --将它用bcrypt ->进行散列,生成彩虹表的时间更慢,但最后,一台功能强大的机器/S针对一个重要的密码可以破解它。 如果我们将两个散列算法链接到一个散列过程中,我们能避免这种情况吗?例如,使用SHA-256散列对密码进行散列,然后用bcrypt对输出进行散列?地窖(沙(Pwd)) 这样,输出哈希就不会出现在任何彩虹表中,即使它是专门为我的盐(我和
浏览 0
提问于2020-04-25
得票数 0
2
回答
你能帮我解决一些关于隐窝和盐渍的误解吗?
、
、
、
、
我研究了密码哈希和破解,我有一些误解: 创建强密码的第一条经验法则是使用数字/上/下/符号的10+组合来防止暴力攻击。那么,只有当密码是预先生成的表的成员(是长密码还是短密码)时,才会出现问题。 假设密码是QWERTY,并假设: Hash(QWERTY) = $$ User1:Hash(QWERTY+134565654) = #### User2:Hash(QWERTY+876964786) = &&& 让我们想想盐是如何起作用的: For蛮力: 未加盐的$$$$很容易造成暴力。 盐渍的####和&-更难使用武力,因为它们更长,即使它们是野蛮的,黑客也不会知道密
浏览 0
提问于2020-04-23
得票数 2
2
回答
将bcrypt盐存储在孤立数据库中是个好主意吗?
、
、
我在stackexchange上读到了很多关于盐、盐以及放盐的确切位置的答案。对于哈希(如BCrypt ),从哈希中提取salt非常简单。所以,你把散列放在哪里并不重要。但是,我在这里假设会生成一个散列,比如hash(plain+salt)之类的。 大多数人建议,放置盐分的最佳方法是在另一列中或在密码哈希本身旁边。据我所知,这也很容易提高凭据验证的性能。此外,我假设服务器端确保使用不同的盐类来散列不同的密码。因此,在数据库泄漏的情况下,攻击者将不得不计算所有hash+salt的彩虹表,这很繁琐。 但是,我在考虑一个边缘案件。让我们假设攻击者对破解特定用户的密码特别感兴趣。攻击者转储数据库,获得
浏览 0
提问于2019-02-22
得票数 2
2
回答
如何构造彩虹表以破解6个字符的密码?
、
考虑到散列: 491c290affbf5436f0f0584ccefb2 如何构造彩虹表以破解此密码?
浏览 0
提问于2012-10-25
得票数 -4
3
回答
用盐重新计算彩虹桌?
、
、
、
因此,据我所知,在散列之前,您需要先添加一个带有salt的密码,这样就不能在彩虹表中使用由此产生的哈希来查找原始密码,就像仅对密码进行散列一样。但是,如果盐是已知的,又有什么能阻止人们重新计算新的彩虹表呢?我以为知道盐对安全没什么影响?
浏览 0
提问于2012-06-29
得票数 3
回答已采纳
1
回答
当盐存储在散列的旁边时,你能破解一个散列的密码吗?
、
、
好吧,所以我一直在读(很多!)关于安全和关于哈希、加盐、加密等的整个交易,我一直看到的一些事情真的让我很困扰。似乎许多真正了解他们的东西的人一直在说,把盐和散列密码一起存储在数据库中是可以的。 我不禁想知道,为什么?如果你的数据库被转储了怎么办?他们可以访问所有内容,对我来说,这意味着他们可以查看任何一条记录,瞧(!)哈希密码和明文盐就在它旁边。这为他们提供了针对彩虹表和/或字典攻击运行它所需的信息,不是吗? 我一定是漏掉了什么(是的,这是以前从未发生过的!)在这件事上会得到一些启发。
浏览 2
提问于2011-08-10
得票数 8
回答已采纳
4
回答
用于密码哈希的哈希算法是否会影响彩虹表的生成?
、
、
、
、
re 先生表示,使用md5而不是SHA-512可以更容易地生成彩虹表?我曾想过,一旦生成了彩虹表,所使用的算法就不再重要了?这对您如何使用彩虹表来检查已知的散列没有影响吗?有没有办法知道以何种方式使用了哈希算法? 编辑更新: 我认为需要对密码表进行适当的散列,这不是为了保护您的应用程序,而是为了保护其他所有用户将重复使用密码和ids的用户。
浏览 1
提问于2009-03-30
得票数 0
回答已采纳
3
回答
彩虹桌还有用吗?
由于未加密的密码越来越少,而且流密码的状态非常大,现在是否有任何广泛部署的系统仍然容易受到这种时间记忆数据交换攻击? 如果我要向彩虹表展示一个小的通用改进,那么有什么好的问题可以演示呢?
浏览 0
提问于2018-02-09
得票数 6
回答已采纳
8
回答
腌散列真的像常识所暗示的那样安全吗?
、
、
我正在我的网页上为用户密码实现一个salt函数,我想知道一些事情。 salt是添加到密码中的扩展,然后进行散列,这意味着密码以hash(password+salt)的形式存储在数据库中。但是盐在哪里存放呢?盐只是为了使彩虹桌“无用”,对吧? 攻击者不能先建一个彩虹表,然后转换所有的散列,然后移除盐吗?毕竟,盐存储在数据库的某个地方。因此,如果能够找到散列密码,就应该能够找到相应的盐类。在我看来,盐只会使密码变长,迫使彩虹表运行得更长。 那么,如何最大限度地提高盐的有效性呢?除了动态地延长密码的长度之外,我并没有真正看到多个安全原因,但是可以再次将它们转换为字符串中的位。 是我对盐是如何工作正确
浏览 0
提问于2013-05-08
得票数 43
回答已采纳
2
回答
PHP加密方法
、
我有一个加密方法,它的行为如下:密码的每个字符都经过一个方法,该方法获取该字符的ASCII值,并将字节向一边移位,然后向另一边移位,并返回以下内容: $shifted_left.$original_char.$shifted_right。 以下是对密码进行哈希处理之前的密码示例: àp8Âa0æs9æs9îw;Þo7är9Èd2Îg3Þo7Êe2æs9Ðh4Êe2är9Êe2d2 在此之后,通过原始密码中的每个字符形成的结果字符串将使用BCrypt进行散列。用这些垃圾字符包围密码是提高了密码的强度,还是保护它们不会通过彩虹表/字典攻击而被破解?
浏览 2
提问于2012-07-12
得票数 3
回答已采纳
2
回答
了解哈希表和彩虹表
、
、
、
因此,我试图更好地理解哈希表和彩虹表,在我的阅读中,我感觉我开始掌握它的诀窍。有一个check your knowledge问题是这样的: “如果您有一个哈希表来存储sha-256密码,并且您希望将整个表存储在内存中,并且您有4 4GB的内存,那么您可以破解多少个密码?如果您使用一个彩虹表,每个链中有20个密码,那么您可以破解多少个密码?(假设密码为10个字符)” 这篇文章让我不禁要问,我是否知道我所读到的内容。到目前为止,这就是我想出来的。 如果每个ShA-256散列的大小始终是256位,并且我们知道单个兆字节有8388608位,则相当于每兆字节32768个SHA-256密码。4000兆,所
浏览 5
提问于2016-02-01
得票数 1
2
回答
如何使用密码哈希加速破解和没有散列(现场)?
、
、
、
On窗口,用户密码散列 不咸 and,在Linux上,用户密码散列为 存储在与salt相同的根拥有的文件中。。在这种情况下,使用已知的 hash查找用户密码的暴力攻击可能比没有已知密码的类似暴力攻击<#>更有效/更快/更成功? 为了给出一些我为什么要问这个问题的背景:我最近读到了Linux如何传统上管理/etc/shadow中的密码,以及在systemd的LUKS容器文件中实现的更新模型。我对这个存储配置感到好奇,为什么密码哈希对于使用livedisc获取的攻击者来说如此容易,一旦他们有了密码哈希,破解起来会有多容易,以及增强系统安全性的可能方法。但我认为这些问题属于另一篇文章。
浏览 0
提问于2021-06-28
得票数 0
回答已采纳
10
回答
密码盐对彩虹表攻击有什么帮助?
、
、
、
我有点搞不懂把盐变成密码的目的。我的理解是,主要的用途是阻止彩虹桌攻击。然而,我看到的实现这个问题的方法似乎并没有真正使问题变得更困难。 我已经看过许多教程,建议将盐用作以下内容: $hash = md5($salt.$password) 其原因是哈希现在不是映射到原始密码,而是密码和salt的组合。但是说$salt=foo,$password=bar和$hash=3858f62230ac3c915f300c664312c63f。现在,有彩虹表的人可以倒转哈希,并得到输入"foobar“。然后他们可以尝试所有密码组合(f,fo,foo,.oobar,obar,bar,ar,ar)。获
浏览 10
提问于2009-01-07
得票数 244
回答已采纳
5
回答
咸密码+散列-它真的有用吗?
、
、
、
我对这个话题很陌生,我想知道在深入到技术细节之前有盐散列的概念。 据我所知 密码-明文 哈希密码-使用不可逆的散列算法加密明文密码(单向) 咸散密码-随机文本+纯文本密码正在散列/散列(salt+plaintext) 彩虹表是从字典单词列表中预先计算出的散列结果列表,将散列密码与彩虹表中的列表进行比较,匹配将显示用户实际使用的密码。 因此,由于salt的随机值,相同明文密码中的2个将不具有相同的散列值。 salt有时使用散列密码存储。 从上面看, 我假设没有最大的密码尝试--拥有salt如何阻止恶意用户试图暴力--通过尝试随机密码(例如,在字典列表上)将密码强制进入系统?与实际用户相比,他们使
浏览 0
提问于2015-07-17
得票数 5
4
回答
保存带有密码散列的salt有多安全?
、
、
在Linux中,我们在/etc/阴影文件中的密码哈希旁边有salt。 我总是听说盐值可以防止散列密码被暴力方法破解。但是如果我们以某种方式得到影子文件,我们可以在算法中注入盐分,并且仍然使用蛮力方法,对吗? 我不是在考虑花了多少时间,只是一般的想法。我知道强制使用SHA256或SHA512散列会花费很长时间。
浏览 0
提问于2015-06-09
得票数 5
回答已采纳
1
回答
在这个ospf示例中,使用md5的身份验证是如何工作的?
、
我试图了解如何在这两个思科路由器之间的md5认证工作。这两个路由器的密码都是cisco。在字段中的输出中,Auth数据:每个数据包中的散列是不同的。这是盐的结果吗?密码序列出现的原因是什么?每个路由器是否都有一个计数器,并且在初始同步之后,两个路由器都会增加这个计数器? 思科只允许最多8个字符的密码,所以也许正在使用一些‘其他’的算法。当您发出命令时,该算法是md5。在一些在线破解网站(带有彩虹表)中快速查询之后,我无法逆转哈希。这是默默无闻的安全吗? 📷 📷
浏览 0
提问于2013-11-22
得票数 2
1
回答
盐渍密码安全
、
、
、
比方说,我有一个存储散列密码的表,还存储了密码使用的盐类(针对每个单独的用户)。 基于另一个堆栈溢出问题,我理解使用散列密码将盐分保存在同一个表上是可以的。 我的问题是,如果有哈希密码的数据库被黑了,用户会有一个彩虹表来处理这些散列,并且考虑到盐类与散列密码存储在同一个表中,那么看到实际的密码不是很简单吗?您只需从特定彩虹表中删除密码中的salt即可。 考虑到这一点,我不明白为什么可以用散列密码将salt存储在同一个数据库中。有人能给我一个更清楚的解释吗?
浏览 2
提问于2016-04-07
得票数 0
回答已采纳
1
回答
难以理解彩虹表中的还原函数
、
、
我正在继续对彩虹表进行一些个人研究,但出于某种原因,我无法理解如何选择正确的缩减函数。维基百科说 “只有当攻击者对可能出现的明文有很好的了解时,他们才能选择一个函数R,以确保时间和空间只用于可能的明文,而不是整个可能的密码空间。” 在这种情况下,像将散列的最后6个字符作为约简函数这样的约简函数如何在试图查找密码(如Password123 )的彩虹表中使用?如果有人能为我解释这件事会很有帮助的。谢谢
浏览 0
提问于2018-08-28
得票数 0
回答已采纳
2
回答
破解Linux密码,如果你有明文和哈希?
、
、
我有一个相对较旧的Linux系统,其中密码不隐藏,因此存储在/etc/passwd/中。 我的问题是,既然我知道明文密码,以及它的散列(查看passwd文件),我能快速找出散列系统/破解它吗?这样我就可以从另一个用户那里得到明文密码了,或者至少可以让暴力变得更快? 谢谢。 编辑:散列有13个字符长
浏览 0
提问于2016-08-06
得票数 0
回答已采纳
2
回答
密码盐:其他最佳做法
、
和大多数程序员一样,我不是密码学方面的专家,但我了解基本知识。然而,正如中所指出的,一点点知识可能是一件危险的事情。考虑到这一点,我理解盐值的目的,但我需要一些帮助来理解如何使用盐值。 我在关于这个主题的其他文章中读到过,最好对每个密码使用一个随机的盐值进行加密。如果是这样的话,当我试图验证一个用户时,如何复制这个随机的盐值?在这个场景中,我将对用户提供的明文密码进行加密,对其进行加密,并将其与存储在数据库中的密码进行比较。创建密码时,我是否将随机盐值与加密密码一起存储在用户记录上?那么,如果黑客拥有完整的用户记录,那么盐值是否会变得无用呢?
浏览 4
提问于2009-08-02
得票数 3
回答已采纳
3
回答
使用彩虹桌与纽约时报黑客?
、
、
、
“纽约时报”最近发布了一篇关于他们在四个月内被黑客攻击的故事。据称,这些黑客是由中国军方的一部分人员进行的。 故事中令我困惑的部分如下: 从那里开始,他们在时报的系统里窥探了至少两周,然后他们确定了包含用户名的域控制器,并对每个Times员工的密码进行了散列或加扰。虽然散列使得黑客的入侵变得更加困难,但哈希密码可以很容易地使用所谓的彩虹表(几乎每一个字母数字字符组合的哈希值数据库)来破解,直到一定长度。一些黑客网站发布的哈希值高达500亿。 我记得去年当LinkedIn密码被窃取的消息被宣布时,LinkedIn因为没有对他们的密码加盐而受到批评,他们还说说他们将来会为提高安全性而对密码进行盐化
浏览 0
提问于2013-02-01
得票数 5
回答已采纳
4
回答
在MySQL中使用什么函数来散列密码?
、
、
、
我的mysql数据库中有一个用户表,其中有一个password列。目前,我使用MD5算法来散列用户的密码,并将其存储在数据库中。现在我喜欢认为我是一个有安全良知的人。在阅读MySQL文档时,我注意到它们不推荐MD5或SHA/SHA1散列方法,但也没有提供替代方法。 在MySQL中散列密码的最佳方法是什么?一个在PHP和MySQL中都被本机支持的函数对于我目前的实现来说将是理想和必要的。 谢谢!
浏览 1
提问于2008-12-03
得票数 11
回答已采纳
2
回答
盐的再利用在多大程度上使彩虹表更有成本效益?
虽然我知道盐不应该被重复使用,但我感兴趣的是,如果我们只有少量的散列来重复使用盐,那么它是否是一个重大的问题。 因此,假设我们有一个带有N密码散列的表,该表使用相同的salt。盐是唯一的,但它被重复使用在所有的散列。 表的大小对安全性损失有多大的影响?例如,一个只保存一个密码的表显然没有任何安全损失,而一个包含10个密码的表则不太安全,但没有明显的安全性。 安全损失的数量是否取决于大小的N,在什么时候彩虹表变得具有成本效益?什么时候安全会严重受损?是N=10,还是N=100,还是N=1000? 编辑:我们还假设表中的每个密码都是唯一的。我们不感兴趣的任何其他类型的安全损失,除了彩虹表变得更符合
浏览 0
提问于2016-10-20
得票数 1
回答已采纳
3
回答
“彩虹表”黑客最初是如何获得密码哈希的?
、
、
、
我不明白彩虹桌袭击的这一部分。 在我所有的谷歌搜索中,它说黑客在密码哈希上使用彩虹表。 但是黑客首先是如何获得密码哈希的呢? 我已经把这个问题从一个已经结束的问题中重新表述了出来:当黑客已经可以访问用户密码数据库时,如何考虑密码的安全性? 如果黑客已经有了密码哈希,他就不能用它们来黑这个系统吗?
浏览 0
提问于2020-06-22
得票数 13
回答已采纳
1
回答
彩虹桌和/或Hellman交易的天真实现
、
这个问题和我问这里的一样。因为我没有得到任何回应,甚至没有评论,所以我也会在这里发布。 在C中是否有Hellman密码分析时间记忆折衷的天真实现和/或在C中也有简单的Oechslin彩虹表算法实现? 我已经看到了一些彩虹表的实现,但是它们总是专注于通过使用组装级操作来快速地工作,或者被设计为在一个特定的平台上工作,比如CUDA或FPGA。
浏览 0
提问于2015-03-23
得票数 13
4
回答
RAR密码,为什么彩虹表不起作用?
、
、
我曾经做过,我已经看到彩虹表的几个实现在密码(比如windows)上的效果非常出色。 我还没有看到在RAR文件上实现彩虹攻击。为什么会这样呢?是什么让RAR加密更安全、更不受此类攻击?
浏览 6
提问于2010-09-29
得票数 5
回答已采纳
1
回答
咸Linux MD5散列的多个应用程序比一个应用程序更容易破坏吗?
、
我多次使用盐渍的Linux MD5格式散列相同的密码(大约1000次)。 我想知道恢复密码是否更容易。 有什么东西可以利用这些多个应用的哈希算法。
浏览 0
提问于2015-05-01
得票数 1
7
回答
为什么盐渍散列对于密码存储更安全?
、
、
、
、
我知道有很多关于盐渍散列的讨论,我知道这样做的目的是不可能建立一个彩虹表的所有可能的散列(一般最多7个字符)。 我的理解是,随机盐度值只是连接到密码哈希。为什么不能对密码哈希使用彩虹表而忽略已知的第一个X位,即随机盐类哈希? 更新 谢谢你的回复。我猜这个目录(LDAP等)必须存储特定于每个用户的salt,否则salt就会“丢失”,身份验证永远不会发生。
浏览 0
提问于2014-02-20
得票数 256
回答已采纳
3
回答
强制访问与解密密码文件或数据库之间的区别
、
、
我只是在阅读最好用bcrypt来保护密码,而不是在数据库中保存密码哈希,这让我想到了黑客们以前从未想过的其他方面。请纠正我的任何部分的问题,因为我有非常基本的理解密码和黑客在一般情况下。我只是想了解这类攻击的一般方面,为我自己。 我理解Coda的观点,即如果攻击者只是野蛮地强制使用密码,而不是试图使用彩虹表解密您的散列,那么盐碱化您的密码将无法拯救您,因此我们有两种不同类型的攻击: 黑客有一个密码文件/数据库,但没有代码/程序,或者试图强行访问会导致帐户或IP阻塞。在这种情况下,他们将被迫尝试并解密密码字段,比方说数据库。如果您保存了一个散列,那么他们就会尝试将散列字段与包含不同类型的不同单词
浏览 0
提问于2012-07-13
得票数 2
回答已采纳
1
回答
在AES容器中存储密码
、
我知道如何将密码存储为加了盐的散列,而且我知道它对Linux来说甚至足够安全。但甚至在我知道这一点之前,我就想知道将密码存储在使用密码本身加密的AES容器中是否安全。 在我的问题变得难以理解的情况下,一些pythonish式的伪代码: AES(data=password, key=password)
浏览 1
提问于2013-12-01
得票数 0
2
回答
为什么戈朗包bcrypt能够在哈希密码后取回盐?
、
、
、
我在理解来自的以下代码时遇到了困难 func newFromHash(hashedSecret []byte) (*hashed, error) { if len(hashedSecret) < minHashSize { return nil, ErrHashTooShort } p := new(hashed) n, err := p.decodeVersion(hashedSecret) if err != nil { return nil, err } hashedSecret = hashe
浏览 4
提问于2020-11-11
得票数 3
回答已采纳
4
回答
PHP密码盐真的有必要吗?
、
、
、
、
我已经问了自己十几次这个问题了。 密码盐真的必要吗? 关于这个问题,我找不到任何好的文献。 从安全的角度来看,密码盐有帮助吗?如果一个数据库被破坏了,如果密码是密码的话,盐不是丢失了吗? 另外,从刷子的角度来看,如果我禁止IP的,真的有任何理由储存盐吗?
浏览 6
提问于2016-01-27
得票数 3
回答已采纳
3
回答
对涉及安全漏洞的电子邮件的澄清
、
、
我收到了我订阅的论坛的以下电子邮件: 我们有责任通知您,Doom10所在的服务器出现了安全漏洞。这看起来不像是那个人(S)是在私人信息(主要是垃圾邮件添加到谷歌爬虫显示的页面)之后进行的,但和往常一样,人们应该总是期待最坏的结果。他们可以访问文件系统,因此可以访问包含用户信息的数据库(用户名/哈希密码/电子邮件)。密码在数据库中被散列和咸化,但我们仍然敦促那些重用了密码的用户在其他服务上更改密码;如果您希望继续使用Doom10论坛,那么您也应该在本地更改密码。您可以在:http://doom10.org/index.php?topic=2333.0上找到有关入侵的更多信息,我们对您为此可能遇到
浏览 0
提问于2012-07-25
得票数 3
回答已采纳
2
回答
如何存储密码盐
、
、
、
我见过关于如何正确地对密码进行加密的各种方法。基本前提是,在对每个密码进行散列和存储之前,将一个随机字符串附加到每个密码。我可以将盐存储在与密码相同的表中吗?此外,只要每个条目都有不同的salt,那么将salt存储为纯文本有关系吗?
浏览 8
提问于2010-11-13
得票数 6
回答已采纳
5
回答
将盐存储在代码中而不是数据库中
、
、
、
有一系列关于salt最佳实践的讨论,似乎压倒性的建议是为每个密码生成不同的salt,并将其与密码一起存储在数据库中。 然而,如果我正确理解了salt的目的,它是为了减少您被彩虹表攻击所危害的机会。因此,我知道,通过将其存储在数据库中,最好为每个用户更改它,但如果盐与数据库相去甚远呢?如果我在代码中存储一个salt值(在web服务器上,它将在编译的dll中),如果攻击者以某种方式获得对数据库的访问权限,这不是也有同样的目的吗?在我看来,它似乎更安全。
浏览 0
提问于2009-05-18
得票数 7
回答已采纳
2
回答
通过hashcat或彩虹表破解密码。哪个更快?
、
、
这更多是一个理论问题,而不是一个实际问题。为了提供一些背景知识,工作中的讨论提出了如何将密码复杂性设置为什么,以及如果数据库被盗会是什么物流(在这种情况下,假设我在md5中有1000个密码)。 我做了以下的计算(不知道我是否正确) hashrate (H/s) GTX 1080ti 43750000000 Size length keyspace Total(comb) build time in days 8 lower 26
浏览 0
提问于2018-06-01
得票数 1
回答已采纳
7
回答
ASP经典中密码的推荐散列
、
、
在ASP经典中,密码的最慢(因此是最好的)哈希算法是什么? 编辑:对于那些不知道,当哈希密码,较慢的哈希,而不是更快,以帮助慢彩虹表风格的攻击。 EDIT2:当然,对哈希选择来说,速度并不是唯一有效的考虑因素。我的问题假设所有其他条件在哈希密码时都是相等的--,。虽然碰撞/逆向工程当然也是一个问题,但我在这个问题中优先考虑速度,因为在比较常用的哈希算法用于密码时,它可以说是最关键的考虑因素。 谢谢!
浏览 17
提问于2008-10-31
得票数 4
1
回答
如何用盐减少彩虹台的攻击?
、
、
我可以为一个特定的盐值创建一个彩虹表,并且仍然可以创建一个成功的攻击,类似于一个没有盐值的攻击。
浏览 0
提问于2013-01-19
得票数 3
回答已采纳
6
回答
如果攻击者知道盐对安全性是无用的吗?
、
、
假设我有一个用户表,如下所示: CREATE TABLE `users` ( `id` INTEGER PRIMARY KEY, `name` TEXT, `hashed_password` TEXT, `salt` TEXT ) 创建用户时,会生成一个随机生成的salt,并将其与get_hash(salt + plaintext_password)之类的结果一起存储在数据库中。 我想知道,如果一个恶意用户获得了这些数据,他们是否能够利用这些数据来破解用户的密码?如果是这样的话,有什么方法可以预防呢?
浏览 5
提问于2009-07-08
得票数 10
回答已采纳
4
回答
在Bcrypt之前使用512-hash?
、
、
我想在我的系统中使用Bcrypt进行密码加密。但是所有的例子都是这样的: $password = $_POST['password']; $salt = substr(str_replace('+', '.', base64_encode(sha1(microtime(true), true))), 0, 22); $hash = crypt($password, '$2a$12$'.$salt); 对我来说,这看起来很安全,但我想知道,在每个示例中,没有人在使用Bcrypt之前散列密码。 由于独特的盐,彩虹表应该不能一次破解所有
浏览 2
提问于2012-07-01
得票数 1
回答已采纳
3
回答
如何设置破解WPA/WPA 2的GPU?
、
我有一个戴尔N5110 15R笔记本电脑,我计划使用的GPU为基础的破解WPA/WPA 2密码。问题是,我并不是密码字典和彩虹表的忠实粉丝,我更愿意使用蛮力的方法。我不知道时间的不同,但我想在这里尽量少选时间。 无论如何,据我所知,我的笔记本电脑配备了擎天柱,它在内置的英特尔图形卡和Nvidia GT525M卡之间交替使用。问题是,没有直接的方式让linux看到Nvidia卡,更不用说它们之间的交替了。我不打算使用图形,我需要的是GPU破解卡。有什么想法吗? 这是一部分,另一部分是构建一个特定的设置,允许我通过对WPA/WPA 2密码进行暴力攻击来破解它们(而不是使用would列表)。我不知道
浏览 0
提问于2013-01-02
得票数 3
2
回答
开发彩虹表
、
、
、
、
我目前正在从事一个并行计算项目,我正在尝试使用彩虹表来破解密码。 我想到的第一步是实现一个非常小的版本,它可以破解长度为5或6的密码(开始时只有数字密码)。首先,我有一些关于配置设置的问题。 1-我应该从多大的尺寸开始。我的第一个猜测是,我将从一个包含1000个初始和最终对的表格开始。开始的时候这个尺码合适吗? 2-链的数量-我在网上真的没有关于链的大小的信息 3- Reduction函数-如果有人能给我任何关于我应该如何构建一个的信息。 此外,如果任何人有任何信息或任何示例,这将是非常有帮助的。
浏览 1
提问于2011-02-09
得票数 1
2
回答
Ruby BCrypt加盐/散列似乎...不对?
、
、
、
、
我一直在一个ruby应用程序中创建加盐密码,这是我认为的标准方式: password_salt = BCrypt::Engine.generate_salt password_hash = BCrypt::Engine.hash_secret(params[:pword], password_salt) 但在检查一个测试用例时,它看起来就像是将盐放在哈希密码的前面: 现在,根据我对salt的理解,它应该在散列之前连接到密码上,以使密码超出任何预先计算的查找表、彩虹表等的大小范围。都不会包括。关键是,如果有人获取了您的用户数据库,他们仍然无法使用查找表破解密码。如果在散列后将盐放在密码
浏览 0
提问于2019-06-21
得票数 1
2
回答
野外密码破解的具体数字
、
虽然密码猜测是一门科学,但并非所有的攻击者都是最新的进展,或关心投资于GPU或FPGA。 通过打开蜜罐和他们主要关注的是琐碎的密码,甚至没有那么多针对默认密码,可以很容易地测试在线密码猜测攻击。但是,当密码数据库被公开时,在线猜测与脱机猜测有很大不同。 是否有研究或至少有案例表明密码必须有多强才能抵挡普通攻击者的猜测?攻击者必须如何“复杂”地使用诸如开膛手约翰之类的工具? APT和安全研究人员超出了这个问题的范围。 (上下文:杰夫·阿特伍德断言强密码是无用的,因为攻击者将坚持“低挂密码水果。是否现实?)
浏览 0
提问于2013-03-17
得票数 14
6
回答
使用帐户名作为盐
、
所以我正在为一个游戏做一个网站。没有什么会流行的:P 现在我正在考虑密码安全,我将使用salting,但我没有在account表中添加新的列,而是考虑使用帐户名作为salt,因为它不能更改,并且是“唯一的”。我的意思是两个用户不能有相同的帐户名。 但我在想,假设某人的帐户名称为banana,这将是多么安全。我的意思是这个词在黑客使用的词汇表中一定很流行。 假设帐户名是banana,密码是hello (用sha1散列),这很容易反转,对吗?
浏览 1
提问于2010-01-07
得票数 3
回答已采纳
3
回答
加盐密码安全性
、
、
、
为什么对每个密码使用不同的盐来存储密码会更安全?由于密码在加盐后是散列的,所以我认为没有理由使用不同的加盐。 用已知的盐或其他东西暴力破解密码更容易吗?或者,黑客一旦知道了盐,就会制作自己的彩虹表? 亲切的问候
浏览 3
提问于2012-07-04
得票数 0
回答已采纳
3
回答
已知密码长度和安全性考虑
、
很多人经常吹嘘自己密码的长度,比如“是的,没有人会破解我的密码,因为密码有22个字符。”我在想,如果你知道他们的密码的确切长度,你就可以从本质上降低强制他们密码所需的空间和计算。我的问题是,有没有人知道它减少了多少? 如果我知道密码的长度是22个字符,显然你不会尝试任何可能的密码,而不是22个字符的长度。 如果你知道准确的字符长度,破解密码的速度有多快?
浏览 0
提问于2011-10-07
得票数 7
2
回答
从哈希中获取原始值
、
、
前几天,我在我们的企业系统--甲骨文公司( dba_users )上偶然发现了一张表格。 我能够在这个表中找到每个员工的哈希密码,以及他们的用户名。 据我所知(通过谷歌搜索),用户名+密码是连接在一起的,然后是散列的。 问:知道“盐”(我自己的用户名)、“原始值”(我自己的密码)以及散列的value...is是否有可能破解散列? 此外,在谷歌上搜索oracle 10g散列,似乎有些人认为他们已经找到了散列算法。我读过“彩虹表”和“离线字典攻击”...最后,我用谷歌搜索了oracle 11g,该版本的一个功能是它们将散列密码隐藏在dba_users中,这样最终用户就看不到它了。 无论如何,我想知
浏览 11
提问于2011-02-26
得票数 1
回答已采纳
5
回答
使用随机盐的散列密码存储
、
、
、
、
自从我创建需要用户使用用户名和密码登录的站点以来,我总是通过将密码存储在带有盐分短语的数据库中来保持密码的安全性。嗯,就在最近,我读到用一个静态的盐字是不好的做法。相反,您应该为每个用户使用一个随机盐。 我站在那里为每个用户生成一个随机的盐词。但是我的问题是,如果你必须把随机的盐也存储在你的数据库中,那么你可以用它来交叉引用它,然后在用户登录时检查输入的密码。如果用户名和密码从您的数据库中被窃取,难道这不是很容易吗?那么,它们也有同样多的访问随机盐值的权限吗?似乎这一额外的安全层并没有给等式增加多少。 还是我搞错了?
浏览 0
提问于2012-06-20
得票数 21
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
密码及加密方式
hashcat,利用 GPU 进行密码恢复
黑客武器库:Kali Linux。这又是什么?
简单聊聊“常见场景的加密选择”
Python黑科技:WiFi破解,你家的WiFi又被蹭了吗?
热门
标签
更多标签
云服务器
ICP备案
实时音视频
即时通信 IM
对象存储
活动推荐
运营活动
广告
关闭
领券