使用加盐哈希密码短语时是否可以在服务器端强制执行密码复杂性?
Is it possible to enforce password complexity server-side while using salted hashed passphrases?
如果我使用服务器端密码复杂性规则,并且在客户端对密码进行加盐和哈希处理,是否可以在密码到达服务器后测试复杂性规则?我会假设不是或者散列不是很有用
那么在这种情况下,您如何加强密码的复杂性?
简答;你不应该在客户端散列密码。如果这样做,提交的哈希值将有效地变成纯文本密码。
SO 和相关网站上有很多帖子更深入地解释了为什么这是一个坏主意。例如,https://security.stackexchange.com/questions/23006/client-side-password-hashing
编辑:为了回答您原来的问题,如果密码已被正确地散列和加盐,那么应该没有办法从散列中恢复原始密码。
如果我使用服务器端密码复杂性规则,并且在客户端对密码进行加盐和哈希处理,是否可以在密码到达服务器后测试复杂性规则?我会假设不是或者散列不是很有用
那么在这种情况下,您如何加强密码的复杂性?
简答;你不应该在客户端散列密码。如果这样做,提交的哈希值将有效地变成纯文本密码。
SO 和相关网站上有很多帖子更深入地解释了为什么这是一个坏主意。例如,https://security.stackexchange.com/questions/23006/client-side-password-hashing
编辑:为了回答您原来的问题,如果密码已被正确地散列和加盐,那么应该没有办法从散列中恢复原始密码。