0
因此,在用戶註冊時,用戶輸入(密碼+隨機鹽)並將其發送到服務器。在用戶註冊時在客戶端散列密碼,數據庫僅存儲散列。登錄時如何再次使用相同的鹽?
登錄時用戶輸入(密碼+隨機鹽?)並將其發送到服務器。
在登錄部分進行此項工作我需要做些什麼?
A
回答
1
salt是由服務器應用程序生成的,而不是由用戶生成的,它將與您的密碼一起存儲在數據庫中(這不是祕密)。用戶提供的鹽只是第二個密碼。
鹽的目的是,攻擊者不能建立一個單一的彩虹表,一次破解數據庫的所有密碼。即使它是已知的,它也會這樣做。不要混淆鹽和胡椒粉,如果你有興趣如何添加服務器端的祕密,你可以看看我的教程關於secure password storing。
+0
第一次傳輸過程中以純文本發送的密碼也是如此?在登錄期間,客戶端在將密碼發送到服務器之前如何加密密碼? – AlexMcG 2015-03-31 09:22:12
+0
好的指南順便說一句。它僅涵蓋服務器端,但通過 – AlexMcG 2015-03-31 09:26:12
+0
@AlexMcG - 通常密碼通過加密的SLL連接(HTTPS)發送明文。對於一個網站來說,沒有其他選擇,因爲無論您發送給客戶端的腳本如何,ManInTheMiddle都將始終能夠運行相同的腳本(或者將它們除去)。如果用戶安裝了Android應用程序,則可以使用公私鑰加密來保護髮送的密碼。 – martinstoeckli 2015-03-31 11:34:34
相關問題
- 1. 如何在數據庫中存儲鹽漬散列密碼
- 2. 如何驗證用戶登錄時的散列密碼
- 3. 使用含鹽的散列在數據庫中存儲密碼;不知道在哪裏/如何存儲鹽
- 4. 如何用隨機鹽散列密碼?
- 5. 散列(與鹽)的用戶名和密碼在PHP
- 6. 使用MD5和密碼散列函數在數據庫中存儲時
- 7. 散列用戶密碼
- 8. 使用散列表僅存儲密鑰?
- 9. 用於散列密碼的雙鹽?
- 10. 如何在java中使用散列函數來散列密碼?
- 11. 如何在服務器上使用散列密碼驗證客戶端?
- 12. 如何在用戶註冊和登錄系統中實現MD5散列?
- 13. 如何加鹽和散列密碼
- 14. 當散列不適用時將密碼存儲在數據庫中
- 15. 保存wordpress密碼/登錄到另一個數據庫在註冊時同時?
- 16. 與登錄用戶在同一月註冊的用戶列表
- 17. 在數據庫中散列密碼
- 18. 散列密碼時,我應該將散列函數名稱存儲在數據庫中嗎?
- 19. 用戶註冊並登錄,存儲數據庫並使用SQLite查詢用戶名和密碼
- 20. 散列用戶密碼中的Cookie
- 21. 如何存儲的用戶名/密碼安全(散列不會做)在DB
- 22. 登錄散列用戶輸入
- 23. 將密碼和信息存儲在數據庫中時用戶名應該散列嗎?
- 24. 在MySQL中存儲散列密碼
- 25. 我的登錄腳本在驗證散列密碼時失敗
- 26. 密碼散列,鹽值和哈希值的存儲
- 27. 使用Linux用來散列用戶密碼的算法散列字符串?
- 28. 從數據庫檢索鹽值時,我的散列密碼值不匹配
- 29. 在twitter客戶端存儲登錄/密碼
- 30. 將密碼存儲爲散列值時檢索密碼
我的意思是說,是鹽存儲在什麼地方或什麼? – AlexMcG 2015-03-31 02:03:51
是的,salt與哈希密碼一起存儲在db中。 [谷歌搜索這個問題](https://www.google.com.au/search?site=&source=hp&q=how+does+password+salt+work&oq=how+does+password+salt+work&gs_l=hp.3。 .733.9129.0.9402.58.26.1.0.0.2.1047.2704.3-2j2j7-1.5.0.msedr ... 0 ... 1c.1.64.hp..55.3.1540.0.dieL90iQgmY)會返回很多結果,但你檢查出任何這些資源? – 2015-03-31 02:05:33
我相信你會把鹽和其餘的用戶信息一起儲存在數據庫中。不確定,但。 – iamnotmaynard 2015-03-31 02:06:04