![]() |
1
2
您有义务尽可能保护您的用户的密码。这意味着保护数据库不被窃取。这也意味着要做一个强的salted散列,这样如果攻击者真的得到了数据库,那么提取所有密码将花费令人望而却步的长时间(这总是有可能的,但却不值得他们这么做)。 一种方法是使用多盐散列系统。基本上你用两种不同的盐。一个存储在每个用户的唯一用户中,另一个存储在其他位置的整个站点中。那样的话,如果两种盐都得不到的话,破解的难度就会成倍增加(尽管也不是不可能)。
|
![]() |
2
0
这取决于他一旦获得登录名和密码还能做什么。例如,所讨论的网站可能允许他以另一个用户的名义订购商品,或者以其他方式模仿该用户。换句话说,获取登录凭据允许入侵者将被动攻击(读取数据)转化为主动攻击(执行不允许的操作)。
由于这些原因,密码不应该以可读的形式存储在数据库中。应始终使用加密安全的哈希算法对密码进行哈希(而不是加密)。 |
![]() |
David 54321 · 我的密码在pyinstaller.exe中安全吗? 10 月前 |
![]() |
Michael · 某些Windows客户端上的命名管道安全问题 1 年前 |
![]() |
adamency · 是否可以从Go二进制文件的源代码中检索字符串? 1 年前 |
![]() |
AlboSimo · PayPal Api密钥安全 1 年前 |