保存使用用户密码加密的私钥是否比将哈希存储在数据库中更安全?

Is saving a private key encrypted with the users password safer than storing a hash in a database?

存储由用户密码加密的客户端生成的私钥是否比存储密码的散列更安全? (加密部分在客户端完成,它会发送到服务器,用户密码不会发送到服务器)

这取决于你在说什么。

如果我是客户:

  • 我生成一个纯随机 "key":
    58 3b ae a9 de 37 88 e6 ed a2 9f 45 db 8b 9f 56 ef e1 aa 25 ac 52 f6 3d 02 dd 1b 86 1f c5 39 44
  • 我用密码加密它: 3e 35 33 46 fe a2 04 09 58 ff 1a 29 41 97 cb 6d 44 32 5f 4a 74 01 90 1d f3 32 eb 2c 6e 49 e1 19

您所做的是让客户端通过额外的步骤创建一个强密码。我可以将这些字节转换为字符串:

4uG,crh9N%=T99g6'oc36o&+AF9.IDo.oV_DFre)

现在这是用户的“密码”。当他们登录到您的站点时,您需要验证该密码。这意味着您必须将该密码安全地存储在您的系统中 - 并且采用该密码的 SHA-256 散列是不安全的.

客户端加密就完了

如果用户生成 “私钥”怎么办:

58 3b ae a9 de 37 88 e6 ed a2 9f 45 db 8b 9f 56 ef e1 aa 25 ac 52 f6 3d 02 dd 1b 86 1f c5 39 44

然后他们将that发送到服务器,you将使用用户密码对其进行加密:你是怎么知道用户密码的!?

你不能那样做,因为你不知道他们的密码。