2
我见过一些网站,特别是银行网站,要求你输入这个(例如)。有时他们会要求通过电话证明我的身份。银行是否将密码存储为纯文本?
- 密码的第2个字符
- 密码的第5个字符
- 密码的第6个字符
要做到这一点,散列算法是行不通的,它会?当然,应该像银行一样安全的东西可以存储不可解密的密码?
A
回答
4
是的,这可以在不控股的纯文本版本工作你的密码。简单地说,当您最初设置密码时,银行将散列它将要求的各种组合,并存储这些散列。无论您是否有固定长度的密码(即PIN码)或可变长度的密码,实现起来都非常简单。这些散列可以存储在与用户相关的表中预设的一系列列中,或者作为简单的3列表 - ID(主键),UserId,Hash,并且每个组合有一行n你的密码中的字符。
我怀疑这种方法的效力,而不是要求整个密码虽然...也许有人对此有评论?
0
这可能不是一个在公开论坛上讨论的好项目,但是要阻止他们将所选字符插入到存储器中,解密,将难忘的短语或单词复制到适当的位置,然后加密,对结果执行二进制比较?
0
我会想象他们不得不解密某种私有密钥系统(甚至每个帐户的私有密钥,以提高安全性)......
0
他们可以一样容易地保持一个HASH的单人字符不能?
你实际上不必使用单向HASH。如果您确定您的密钥是安全的,那么您可以轻松使用双向密码。在这种情况下,他们可以很容易地将密码保存在无法从网络访问的系统上。
1
相关问题
- 1. 存储纯文本密码
- 2. 使Django.contrib.auth存储纯文本密码
- 3. 将密码作为环境变量(而不是纯文本)存储在配置文件中是否安全?
- 4. 是否可以验证LDAP凭证而不将LDAP密码存储为纯文本
- 5. Ruby on Rails - 使用authlogic存储纯文本密码
- 6. SVN避免以纯文本格式存储密码?
- 7. 避免将密码存储为明文?
- 8. 显示SHA1密码为纯文本
- 9. CGI脚本中的纯文本密码是否存在安全漏洞?
- 10. 在PowerShell脚本中将AES加密密码解密为纯文本
- 11. DotNetNuke - 纯文本加密/散列密码
- 12. 如何使用bcrypt将纯文本密码与哈希密码进行比较?
- 13. 数据库存储:纯文本还是编码?
- 14. Symfony2 $ user-> setPassword()将密码更新为纯文本[DataFixtures + FOSUserBundle]
- 15. 如何将纯文本转换为django中的散列密码
- 16. 即使我没有存储密码,程序是否可以存储密码?
- 17. 存储原始密码文本
- 18. rspec声明加密的密码不是纯文本
- 19. 只是想将代码解码为纯文本
- 20. 存储银行帐号
- 21. 存储过程和银行
- 22. 是否可以将HHVM字节码存储为文件?
- 23. 如何仅将文本加密为纯文本字符串
- 24. Magento导入纯文本密码
- 25. 如何处理纯文本密码
- 26. 通过HTTPS的纯文本密码
- 27. 存储密码的最佳方式(无数据库或纯文本)?
- 28. 如何使用厨师独奏设置MySQL根密码而不将其存储为纯文本?
- 29. 将密码存储为散列值时检索密码
- 30. SSH:登录时,密码是纯文本还是可sniffable?
如果你真的想知道,为什么不问银行。 –
这并不是一个坏主意,但我想我可能会在我遇到一个甚至知道某个人可能知道数据库是如何设置的人之前至少搁置2个小时。特别是因为我不关心它,只是有兴趣; D – Connell