[英]Storing password in tables and Digest authentication
如何在表中存儲 web 站點用戶密碼的主題已在 SO 上多次出現,一般建議是存儲密碼的 hash,最終是 HMAC hash。這適用於基本身份驗證或基於 forms 的身份驗證(真的同一件事情)。 我的問題是我還必須提供摘要身份驗證,以連接到我的服務的自動化工具為目標。 我一直在研究這個問題,正如我所見,我唯一可以存儲的 hash是 Digest 的 HA1 部分: username: realm: password的 hash。 這樣我就可以驗證 Basic/forms 和 Digest。
我的問題是這樣做沒有任何好處。 現在確實,如果攻擊者掌握了我的密碼表(因為他只有散列值並且他需要發送明文密碼),他就不能使用基於基本或 forms 的身份驗證,但是沒有什么能阻止他使用摘要式身份驗證並給出有效響應對我的服務挑戰:他只是從表中預先計算的 HA1 開始,然后從那里繼續制作響應(即,我會做同樣的事情來驗證后端的用戶)。
我錯過了什么嗎? 添加摘要要求是否基本上使散列密碼的存儲成為安全 pov 的無操作,充其量是一種混淆?
我使用預先計算的哈希值的原因不是為了防止攻擊,而是為了保護用戶隱私。
攻擊者確實可以進行身份驗證,但他不能(輕易地)看到我寶貴用戶的密碼並破壞他們正在使用的其他服務等。
在 Spring 中為 Web 服務客戶端使用 JAX-WS 進行摘要密碼身份驗證
[英]Digest password authentication with JAX-WS in Spring for webservice client
WAS 8.0聯合回購和Servlet Spec 3.0密碼摘要的安全認證
[英]WAS 8.0 Federated Repo & Servlet Spec 3.0 Security authentication of password digest
服務器是如何首先獲得密碼的? 預先(摘要身份驗證)注冊
[英]How did the server get the password in first place ? Pre (Digest Authentication) registration
在沒有OAuth的情況下將加密的用戶名/密碼存儲在遠程網站上以進行身份驗證
[英]Storing encrypted username/password for authentication on remote website without OAuth
將用戶 ID 和密碼 hash 存儲在 cookie 中以進行自動登錄? vBulletin 類型的身份驗證是否可以接受?
[英]Storing user id and password hash in a cookie for auto login? Is vBulletin-type authentication acceptable?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
