![](/img/trans.png)
[英]Security implications of storing the password hash along an encrypted AES key
[英]Is saving a private key encrypted with the users password safer than storing a hash in a database?
存儲由用戶密碼加密的客戶端生成的私鑰是否比存儲密碼的 hash 更安全? (加密部分是在客戶端完成的,它將被發送到服務器,用戶密碼不會被發送到服務器)
這取決於你在說什么。
如果我是客戶:
58 3b ae a9 de 37 88 e6 ed a2 9f 45 db 8b 9f 56 ef e1 aa 25 ac 52 f6 3d 02 dd 1b 86 1f c5 39 44
3e 35 33 46 fe a2 04 09 58 ff 1a 29 41 97 cb 6d 44 32 5f 4a 74 01 90 1d f3 32 eb 2c 6e 49 e1 19
您所做的是讓客戶通過額外的步驟創建一個強密碼。 我可以將這些字節轉換為字符串:
4uG,crh9N%=T99g6'oc36o&+AF9.IDo.oV_DFre)
這現在是用戶的“密碼” 。 當他們登錄您的網站時,您需要驗證該密碼。 這意味着您必須將該密碼安全地存儲在您的系統中 -並且獲取該密碼的 SHA-256 hash 是不安全的。
如果相反,用戶生成一個“私鑰”怎么辦:
58 3b ae a9 de 37 88 e6 ed a2 9f 45 db 8b 9f 56 ef e1 aa 25 ac 52 f6 3d 02 dd 1b 86 1f c5 39 44
他們將其發送到服務器,您將使用用戶密碼對其進行加密:您是如何知道用戶密碼的?
你不能這樣做,因為你不知道他們的密碼。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.