显示用户 salted/hashed 密码存在安全风险?
Security risk in showing user salted/hashed password?
我有一个经过加盐处理然后用 sha512 加密的密码。如果用户可以看到 salted/encrypted 哈希字符串(例如,在 URL 参数中),是否存在任何安全问题?
提供散列密码,即使是加盐的密码,恕我直言,这与良好的安全实践有明显的冲突,特别是如果散列用于 URL。
请记住,浏览器缓存会保存所有 URL 访问过的内容,因此攻击者可以使用浏览器缓存来提取密码哈希,然后开始破解它,例如通过使用一个常见的密码列表。
因此我绝不会在 URL.
中使用简单的加盐和散列密码作为参数
我接受密码散列的唯一方法是,如果使用的散列是 HMAC(例如 HMAC SHA-512),并且具有永远不会离开服务器的用户特定随机密钥。在这种情况下,密码哈希通常对攻击者毫无用处。
我有一个经过加盐处理然后用 sha512 加密的密码。如果用户可以看到 salted/encrypted 哈希字符串(例如,在 URL 参数中),是否存在任何安全问题?
提供散列密码,即使是加盐的密码,恕我直言,这与良好的安全实践有明显的冲突,特别是如果散列用于 URL。
请记住,浏览器缓存会保存所有 URL 访问过的内容,因此攻击者可以使用浏览器缓存来提取密码哈希,然后开始破解它,例如通过使用一个常见的密码列表。
因此我绝不会在 URL.
中使用简单的加盐和散列密码作为参数我接受密码散列的唯一方法是,如果使用的散列是 HMAC(例如 HMAC SHA-512),并且具有永远不会离开服务器的用户特定随机密钥。在这种情况下,密码哈希通常对攻击者毫无用处。