我读过一吨的有关散列和盐密码,不要的,不要等我看到的问题是这样的:如果黑客是要经过窃取散列密码列表中的努力,没有按“T然后他可以访问所有被密码保护的数据?这就像组合,存储到安全,的安全。打破,并窃取组合。如果我是贼,我会拿钱。

现在一个大公司可能有一个单独的服务器只是为了验证。然而,黑客想要的数据,没有密码。因此,如果两个服务器是相等的,我将打入保存数据的一个。

有没有,我很想念这里的计算机安全的一些基本的缺陷?是否有非社会的方式,而不散列文件破解密码?

感谢您的帮助。

- 戴夫

有帮助吗?

解决方案

您正在假定这样的人可以访问整个数据库。这并非总是如此。他们可能已经在其中散列意外暴露给用户的网页绊倒(并因此具有与DB的其它部分没有访问),或者它们可以已经使用SQL注入拉某些数据列于方式是有限的(例如,他们可能已经找到了你的用户表称为users,但不是说你的信用卡表称为lolcats)。

另一个安全考虑的是你的内部IT人员。与该数据库通常还是合法访问开发者不应该看到每个人的密码明文。

其他提示

的一个原因是,大多数用户具有多个帐户的相同的密码。一个非散列密码意味着我对其他网站的帐户可能成为损害 - 尤其是因为电子邮件是用于登录公共字段。通过散列密码,如果一个网站都有自己的数据库被盗,我保护,有我的电子邮件帐户受到损害的同时。

大多数用户将重复使用多个系统的密码。如果攻击者闯入你的系统,你不希望他能够使用您的数据打入用户的不同网站上的帐户。

另外,如果你使用加密用户密码数据,并且只存储密码的哈希值,那么攻击者将无法就算他得到你的整个数据库,除非他可以破解哈希做任何事情。请注意,这将使它完全不可能推行“忘记密码”功能,除非你有办法使用安全答案(使得它在影响第二个密码)对数据进行解密

许可以下: CC-BY-SA归因
不隶属于 StackOverflow
scroll top