post 密码不散列到 django-rest-api 是否安全?
Is it safe to post password without hashing it to django-rest-api?
Django 表单在表单中使用 CSRF 令牌,甚至在 POST 到 django-rest-api 时使用 CSRF 令牌。我有两个关于 post 使用表单输入密码而不通过 HTTP 连接散列的问题 -
- 使用 django 表单 post 验证 post 密码安全吗?
- django-rest-api 的 post 密码安全吗?
对密码进行哈希处理的目的是不可逆地隐藏原始密码。密码哈希存储在数据库中而不是明文密码,因此如果数据库被黑客破坏,他们将不知道原始密码。这意味着他们可能知道用户名,但他们将无法访问这些帐户(至少在不投入资源来破解这些哈希值的情况下无法访问)。
回到你的问题,如果你存储密码哈希值,并且你希望用户提交密码哈希值,那么它就破坏了整个目的,因为密码哈希值也将有效地用作明文密码。
回答您的问题,是的,如果密码哈希存储在数据库中,POST 明文密码是安全的。如果您想提高安全性,请使用 HTTPS,以便在传输到服务器的过程中对明文密码进行加密。
编辑:
澄清一下,当我说:
it is safe to POST cleartext passwords if password hashes are stored
in the database
我的意思是它不受上面示例中指定的攻击媒介的影响(黑客破坏数据库以控制帐户)。
Django 表单在表单中使用 CSRF 令牌,甚至在 POST 到 django-rest-api 时使用 CSRF 令牌。我有两个关于 post 使用表单输入密码而不通过 HTTP 连接散列的问题 -
- 使用 django 表单 post 验证 post 密码安全吗?
- django-rest-api 的 post 密码安全吗?
对密码进行哈希处理的目的是不可逆地隐藏原始密码。密码哈希存储在数据库中而不是明文密码,因此如果数据库被黑客破坏,他们将不知道原始密码。这意味着他们可能知道用户名,但他们将无法访问这些帐户(至少在不投入资源来破解这些哈希值的情况下无法访问)。
回到你的问题,如果你存储密码哈希值,并且你希望用户提交密码哈希值,那么它就破坏了整个目的,因为密码哈希值也将有效地用作明文密码。
回答您的问题,是的,如果密码哈希存储在数据库中,POST 明文密码是安全的。如果您想提高安全性,请使用 HTTPS,以便在传输到服务器的过程中对明文密码进行加密。
编辑:
澄清一下,当我说:
it is safe to POST cleartext passwords if password hashes are stored in the database
我的意思是它不受上面示例中指定的攻击媒介的影响(黑客破坏数据库以控制帐户)。