![](/img/trans.png)
[英]Security implications of storing the password hash along an encrypted AES key
[英]Is saving a private key encrypted with the users password safer than storing a hash in a database?
存储由用户密码加密的客户端生成的私钥是否比存储密码的 hash 更安全? (加密部分是在客户端完成的,它将被发送到服务器,用户密码不会被发送到服务器)
这取决于你在说什么。
如果我是客户:
58 3b ae a9 de 37 88 e6 ed a2 9f 45 db 8b 9f 56 ef e1 aa 25 ac 52 f6 3d 02 dd 1b 86 1f c5 39 44
3e 35 33 46 fe a2 04 09 58 ff 1a 29 41 97 cb 6d 44 32 5f 4a 74 01 90 1d f3 32 eb 2c 6e 49 e1 19
您所做的是让客户通过额外的步骤创建一个强密码。 我可以将这些字节转换为字符串:
4uG,crh9N%=T99g6'oc36o&+AF9.IDo.oV_DFre)
这现在是用户的“密码” 。 当他们登录您的网站时,您需要验证该密码。 这意味着您必须将该密码安全地存储在您的系统中 -并且获取该密码的 SHA-256 hash 是不安全的。
如果相反,用户生成一个“私钥”怎么办:
58 3b ae a9 de 37 88 e6 ed a2 9f 45 db 8b 9f 56 ef e1 aa 25 ac 52 f6 3d 02 dd 1b 86 1f c5 39 44
他们将其发送到服务器,您将使用用户密码对其进行加密:您是如何知道用户密码的?
你不能这样做,因为你不知道他们的密码。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.