请帮我理解。另外我不是在谈论SSL或DH密钥交换。 由于salt存储在数据库中,并且是攻击者保护用户原始密码(彩虹表)的秘密,所以在攻击者将他们的手放在实际的数据库本身上的情况下。那么你将如何防范基于暴力/字典的攻击。再次记录错误的请求并拒绝许多错误的请求的IP是已知的,我在这里谈论密码学。由于用户1的密码相同,攻击者从其他网站获得密码,盐在这里如何保护。我想不是,那么有什么最好的解决方案可以阻止这种攻击。假设数据非常重要,比如信用卡号+ CVV(我知道不存储CVV,但这不是问题)。在数据库中存储salt +密码哈希和防止密码攻击
编辑:顺便说一句,我想出了一些愚蠢的想法,它看起来像停止字典攻击的已知方法。阅读这个问题:High cost encryption but less cost decryption
可能是我们可以在这里讨论一些其他的方法,以防止暴力破解/词典/社会工程学密码攻击
我的看法fwiw:如果您仅存储腌制密码,并且尽可能保护服务器,那么您已完成了自己的任务。用户有责任选择不易受字典攻击影响的密码。 – 2012-03-19 07:45:15
同意jcomeau_ictx,但仍然不向用户发送盐,可以做些什么来使字典攻击更加困难。 – 2012-03-19 07:50:08