https://stackoverflow.com/questions/1759809
-
20-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russian質問
私がやる、の操作を行い、ハッシュと塩漬けパスワードに関する情報のトンを読んでいないなど、私が見る問題はこれです:ハッカーはハッシュされたパスワードのリストを盗むの努力を通過しようとしている場合は、doesnの「彼は、パスワードで保護されたすべてのデータへのアクセス権を持っているtは?それは、安全、<私>で安全への組み合わせを保存するようなものです。破り、との組み合わせを盗みます。私は泥棒だったら、私はお金を取るでしょう。
私はここに行方不明だということを、コンピュータのセキュリティのいくつかの基本的な欠陥がありますか?ハッシュファイルなしでパスワードをクラックするが非社会的な方法はありますか?
ご協力いただきありがとうございます。
- デーブ
解決
あなたは、そのような人は、データベース全体へのアクセス権を持っていると仮定しています。これは必ずしもそうではありません。 、彼らは、ハッシュが誤ってユーザに露出(したがってDBの他の部分へのアクセス権を持たない)されているページにつまずいている可能性があり、またはそれらは、例えば(限定されるようにして特定のデータをプルするために使用されるSQLインジェクションを有していてもよいです彼らは)ユーザーテーブルがusersと呼ばれていることを考え出したかもしれないが、あなたのクレジットカードテーブルがlolcatsと呼ばれていないこと。
は別のセキュリティの考慮事項は、社内のITの人々です。データベースへの正当なアクセス権を持つ開発者は、一般的に、まだ平文で全員のパスワードを見るべきではありません。
他のヒント
一つの理由は、ほとんどのユーザーが複数のアカウントに同じパスワードを持っていることです。電子メールは、ログインするための共通の場である、特に以来 - ハッシュ解除済みパスワードが他のサイトに自分のアカウントが危険にさらされるようになる可能性を意味します。サイトは自分のDBが盗まれた場合は、パスワードをハッシュすることによって、私は私のメールアカウントが同時に感染したから保護しています。
ほとんどのユーザーは、複数のシステム間のパスワードを再利用します。お使いのシステムへの攻撃が破損した場合、あなたは彼が別のウェブサイト上で、ユーザーのアカウントに侵入するためにあなたのデータを使用できるようにする必要はありません。
あなたは、ユーザーのパスワードを使用してデータを暗号化し、パスワードだけのハッシュを格納する場合、彼はハッシュをクラックすることができない限り、また、攻撃者は、彼はあなたの全体のデータベースを取得しても、何もすることはできません。これは、それは完全に不可能機能「パスワードを忘れた」を使用すると、セキュリティの答えを使用してデータを復号化する方法を持っていない限り、(実際には第二パスワードをそれを作る)
を実装することになるだろうことを注意