-1
我有后端有密码存储与哈希-A(单程),我想它转换为哈希-B(单程)。我想删除散列-A密码已删除并更改为散列-B。如何更改我的应用程序的密码散列?
在后端我下次登录时只需更改密码散列-B,但真正的问题是在应用程序中,我的应用程序通过散列-A发送密码,我可以改变它,但旧的应用程序将继续面临同样的问题,我不能简单地推出旧应用程序。
它实际上不可能在旧的应用程序中有任何变化。
什么是最好的方式没有在我的后端保持哈希-A?
A
回答
1
通常使用带加强的密码哈希来避免对数据库进行暴力强制或字典攻击。如果攻击者窃取服务器或数据库,那么将很难检索密码,因为salt和迭代计数会为密码本身的强度增加额外的防御级别。
因此,将迭代(工作因子)和可能的附加盐字节添加到已存储的散列值是有意义的。唯一的要求是真正的原始散列没有被完全破坏(即是一个密码安全的散列)并且具有足够大的输出。
你可以做的是向新改变的哈希值添加某种标识符 - 协议标识符和可能的参数。这样,即使在线也可以更改散列值,选择直接比较 - 在您的情况下 - 或者在服务器上添加工作以执行B散列。
你不能破解这个,因为hashing-A值不再可用于攻击者,并且没有办法将散列-B逆转成散列-A。当然,在运输过程中保持密码或散列A安全并且仍然非常重要。但是你可以简单地部署TLS 1.2来避免这种情况。
相关问题
- 1. 我怎样才能在我的应用程序散列密码
- 2. 如果您不知道当前密码,您如何使用asp.net会员提供程序更改散列密码?
- 3. 我该如何更改我的密码?
- 4. 如何散列密码?
- 5. 如何散列密码
- 6. 散列密码的加密?
- 7. 如何升级密码存储方案(更改散列算法)
- 8. iPhone应用程序的散列密钥加密
- 9. 将密码格式从加密密码更改为散列密码
- 10. 远程密码散列
- 11. 如何更改我的phpmyadmin密码?
- 12. 散列密码
- 13. 散列密码
- 14. CakePHP 3如何在不更改密码的情况下编辑用户(散列)
- 15. 如何用随机盐散列密码?
- 16. 如何用SHA512散列密码
- 17. 我应该如何散列密码CI中
- 18. 更改密码散列(单向加密)功能
- 19. 我真的需要散列密码吗?
- 20. 应用程序更改JIRA/SVN服务器的Ldap密码
- 21. 如何在java中使用散列函数来散列密码?
- 22. 如何更改Web应用程序中的密码字符样式
- 23. 如何使用PCLCrypto中的现有密钥来散列密码?
- 24. 使用md5散列密码
- 25. 散列用户密码
- 26. 散列密码,SQL
- 27. 加密与散列密码
- 28. 如何为我的android应用程序拨打密码?
- 29. 如何在我的Qt应用程序中存储密码?
- 30. 通过.net CF应用程序更改用户密码
不幸的是,我认为不改变旧的应用程序是不可能的。有一个交换哈希算法的最佳实践,但我所知道的只有当你可以更改客户端时才有效。 –