請幫我理解。另外我不是在談論SSL或DH密鑰交換。 由於salt存儲在數據庫中,並且是攻擊者保護用戶原始密碼(彩虹表)的祕密,所以在攻擊者將他們的手放在實際的數據庫本身上的情況下。那麼你將如何防範基於暴力/字典的攻擊。再次記錄錯誤的請求並拒絕許多錯誤的請求的IP是已知的,我在這裏談論密碼學。由於用戶1的密碼相同,攻擊者從其他網站獲得密碼,鹽在這裏如何保護。我想不是,那麼有什麼最好的解決方案可以阻止這種攻擊。假設數據非常重要,比如信用卡號+ CVV(我知道不存儲CVV,但這不是問題)。在數據庫中存儲salt +密碼哈希和防止密碼攻擊
編輯:順便說一句,我想出了一些愚蠢的想法,它看起來像停止字典攻擊的已知方法。閱讀這個問題:High cost encryption but less cost decryption
可能是我們可以在這裏討論一些其他的方法,以防止暴力破解/詞典/社會工程學密碼攻擊
我的看法fwiw:如果您僅存儲醃製密碼,並且儘可能保護服務器,那麼您已完成了自己的任務。用戶有責任選擇不易受字典攻擊影響的密碼。 – 2012-03-19 07:45:15
同意jcomeau_ictx,但仍然不向用戶發送鹽,可以做些什麼來使字典攻擊更加困難。 – 2012-03-19 07:50:08