2
我正在考慮在我的Laravel 5應用程序中實現PBKDF2以取代默認的基於blowfish的身份驗證。當密碼錯誤時動態增加PBKDF2的迭代
每次輸入密碼錯誤時,迭代次數加倍是否可行?
例如默認迭代次數是2000次,當密碼第一次出錯時,下一次嘗試將是4000次迭代,然後是8000次等等。
A
回答
3
儘管您可以繼續在PBKDF2哈希上進行迭代,但實際上它無法通過事實你不知道原始值,這就是爲什麼你有一個哈希首先。你可以存儲迭代計數並嘗試恢復迭代,但你會遇到一個障礙 - 不知道密鑰派生函數的內部狀態。
考慮以下幾點:
var_dump(($hash = hash_pbkdf2("sha256", "password", "salt", 2000)));
var_dump(hash_pbkdf2("sha256", $hash, "salt", 2000));
var_dump(hash_pbkdf2("sha256", "password", "salt", 4000));
這將產生:
string(64) "9209a0c90243e88b89488f99cd7ea010c244cc7a9d4bf65c157f2d8f642eb952"
string(64) "b90c5d9a2d8bb559a36682bd6044a8da0480199148339fe34ef62598e052b0b6"
string(64) "99a4d4dd66f714fae1bab9246ea449dd598d7683a569227c07cdb679e3ed3474"
人體工程學,這是不可能的。並且如果確實有工作,那麼等待發生的拒絕服務也會發生,因爲這將是您的服務器執行計算。
總之,堅持password_hash(Laravel使用),爲您提供所有的安全。您對授權代碼做的越少,可以引入漏洞的次數越少。
相關問題
- 1. Angular JS加密。 pbkdf2和迭代
- 2. 貯藏PBKDF2迭代
- 3. PHP PBKDF2密碼散列代碼
- 4. 錯誤與未報告的異常異常增加時,加密代碼
- 5. 如何從密碼短語和PBKDF2迭代中獲取原始密鑰數據
- 6. 重置PBKDF2中的密碼
- 7. PBKDF2 PHP的密碼散列
- 8. 存儲PBKDF2加密密碼時使用什麼數據類型?
- 9. 類型錯誤,同時增加鍵/值對中迭代
- 10. 解密時C#加密代碼出錯!
- 11. 錯誤率增加時糾錯代碼的開銷
- 12. 我在php的加密代碼錯誤
- 13. Excel VBA代碼錯誤,當使用數量增量(CTRL拖動)
- 14. PHP和Node.JS - 加密PBKDF2
- 15. SHA1密碼加密錯誤
- 16. RSA加密失敗,錯誤代碼= -2146893819
- 17. Java增量錯誤()代碼
- 18. MySQL的:錯誤,同時增加外鍵的表(沒有錯誤代碼)
- 19. 驗證python-pbkdf2中的PBKDF2密碼哈希
- 20. 增加迭代時內核崩潰
- 21. 當使用indexOf()迭代時,代碼中存在特定的錯誤Javascript
- 22. 動態代碼中的Sys.Application.add_init錯誤
- 23. 當輸入「密碼」到密碼字段時jQuery ajax錯誤
- 24. 密碼加密:PBKDF2(使用sha512 x 1000)vs Bcrypt
- 25. 在ionic2中使用pbkdf2-sha256加密密碼
- 26. 解密代碼錯誤
- 27. SSL_read解密錯誤代碼
- 28. Sage:迭代增加序列
- 29. 迭代ArrayList增加值
- 30. map/set迭代器在C++中不會增加錯誤
不行。改用油門機械。 - 您可能希望在某個時候重置此設置,但您不知道原始值。聽起來像是一個等待發生的潛在DoS。 – Amelia
如果您有3次(或5次或10次)錯誤的登錄嘗試,您可以停止接受該用戶名的憑證10分鐘(或30或2小時)。 –
@ ArtjomB。這是一個更好的主意,不知道爲什麼我沒有想到這樣的事情,或者只是在X失敗登錄後鎖定帳戶。 +1 – imperium2335