0
我正在学习盐和哈希密码。我有一个与SQL数据库集成的节点应用程序。我正在使用bcrypt节点中间件来创建哈希和腌制密码以存储在我的数据库中。我已经阅读了如何不必使密码过期,除了安全威胁......但密码的哈希值是什么?偶尔刷新散列密码更安全吗?
从我的角度来看,是不是每周都会随机更新每个用户的哈希密码更安全?密码将保持不变,但服务器将生成并存储新的散列。
如果有人企图攻击我的网站或数据库,会不会随意更改帮助安全?
A
回答
1
不,它根本没有帮助。无论哈希值是否更改都无关紧要 - 密码仍然相同,因此攻击者仍然可以对他发现的数据库启动密码搜索攻击,而不管它是否是当前的密码。
向您推荐使用bcrypt并了解如何使用password expiry policies are virtually useless。为了您的信息,NIST在密码安全方面提供了new guidance,好消息是,许多恼人的旧事物如密码过期和需要组合特殊字符的内容正在被丢弃。谢天谢地,逻辑已经开始胜过过去十年间被太多人强迫的一堆垃圾密码政策建议。
0
它不会帮助,因为底层算法保持不变。在黑客收到散列密码列表的情况下,她可以用已知的算法强制哈希,并以明文形式对付单词列表中的猜测盐。当算法和猜测的salt等于纯文本时,无论结果散列如何,密码都会被破解。
相关问题
- 1. 散列时使用密码两次使它更安全吗?
- 2. 散列密码
- 3. 散列密码
- 4. 起始页面在客户端检查密码散列安全吗?
- 5. 什么是C#支持的最安全密码散列算法?
- 6. 使用Spring Security进行密码散列安全
- 7. 传递散列密码时有什么安全问题?
- 8. 最安全的地方存储密码的散列
- 9. 多次加密密码真的会让它更安全吗?
- 10. 2FA密码应该散列存储吗?
- 11. 我真的需要散列密码吗?
- 12. 散列密码,SQL
- 13. 使用纯文本的散列作为加密密钥安全吗?
- 14. 加密与散列密码
- 15. 散列密码的加密?
- 16. 这是XOR密码术的安全吗?
- 17. bootstrap-table密码列散列
- 18. 密码恢复与sha1密码散列
- 19. Java的面板没有完全更新偶尔
- 20. 将密码格式从加密密码更改为散列密码
- 21. 更新散列
- 22. mysql查询用散列密码更新数据库
- 23. 与ASP .NET安全更改密码
- 24. 更安全的密码通信
- 25. Apache htpasswd安全密码更改
- 26. 密码生成无安全编码的URL安全密文
- 27. 安全 - 杰克逊密码序列化
- 28. VB.Net密码散列做法
- 29. 远程密码散列
- 30. 密码散列API查询
更不用说,即使我们想要,我们也无法每周更新散列,因为我们毕竟没有明文密码。只有当用户登录时才有可能。关于NIST建议的好消息! – martinstoeckli