website/server 所有者不能在散列之前读出密码吗?
Can't a website/server owner read the passwords out before hashing?
我刚刚阅读了很多关于散列的文章,发现使用 SSL 时不需要客户端散列。
所以我有一个网站,我在其中使用 bcrypt 散列密码,即加盐。
但是我可以在散列之前只读出密码的纯文本。
(在我的例子中只是:console.log(req.body.password)
我怎样才能避免这种情况?
问题是,你为什么会。
您是网站所有者,应对此类行为负责。当然,您可以将这些行添加到您的代码中并接收所有信息,不,没有办法阻止它。在您注册的每个站点上,明文密码总是会在某个时候传递给代码。
人们确实通过使用随机生成良好密码的密码管理器解决了此类信任问题。
我刚刚阅读了很多关于散列的文章,发现使用 SSL 时不需要客户端散列。
所以我有一个网站,我在其中使用 bcrypt 散列密码,即加盐。
但是我可以在散列之前只读出密码的纯文本。
(在我的例子中只是:console.log(req.body.password)
我怎样才能避免这种情况?
问题是,你为什么会。
您是网站所有者,应对此类行为负责。当然,您可以将这些行添加到您的代码中并接收所有信息,不,没有办法阻止它。在您注册的每个站点上,明文密码总是会在某个时候传递给代码。
人们确实通过使用随机生成良好密码的密码管理器解决了此类信任问题。