a9
发帖数: 21638 | 1 生成一个非对称密钥对,私钥锁保险柜里。
公钥存到服务器上,用户注册的时候,用公钥加密存到数据库里
验证的时候,公钥加密一下验证是否一致。这样比存明文安全些。
如果公钥被盗了,重新生成一个密钥对,拿出原来的私钥解密,用新公钥重新加密一下
存数据库里。
当然直接存密码+salt的哈希更安全。但有时候还是需要明文的。 |
r****t
发帖数: 10904 | 2 估计这回就是 csdn 的私钥丢了。
【在 a9 的大作中提到】
: 生成一个非对称密钥对,私钥锁保险柜里。
: 公钥存到服务器上,用户注册的时候,用公钥加密存到数据库里
: 验证的时候,公钥加密一下验证是否一致。这样比存明文安全些。
: 如果公钥被盗了,重新生成一个密钥对,拿出原来的私钥解密,用新公钥重新加密一下
: 存数据库里。
: 当然直接存密码+salt的哈希更安全。但有时候还是需要明文的。
|
a9
发帖数: 21638 | 3 他不是说存的明文吗?
我原来公司存的时候是用一个叫dynu什么的组件加密的,虽然每次加密结果都不一样,
但是还是对称加密。
不知道啥时候qq密码给黑出来就有意思了,qq肯定存明文了.
一下
【在 r****t 的大作中提到】
: 估计这回就是 csdn 的私钥丢了。
|
r****t
发帖数: 10904 | 4 喔那好吧,为啥这么肯定 qq 存明文了?
【在 a9 的大作中提到】
: 他不是说存的明文吗?
: 我原来公司存的时候是用一个叫dynu什么的组件加密的,虽然每次加密结果都不一样,
: 但是还是对称加密。
: 不知道啥时候qq密码给黑出来就有意思了,qq肯定存明文了.
:
: 一下
|
a9
发帖数: 21638 | 5 看它的协议啊。以前的时候看过,现在不记得为啥了。
样,
【在 r****t 的大作中提到】
: 喔那好吧,为啥这么肯定 qq 存明文了?
|
g*****g
发帖数: 34805 | 6 根本不需要,hash是one way的,登录的时候把密码hash一下做比较就可以了。
所有正常的网站都是这么做的。
【在 a9 的大作中提到】
: 生成一个非对称密钥对,私钥锁保险柜里。
: 公钥存到服务器上,用户注册的时候,用公钥加密存到数据库里
: 验证的时候,公钥加密一下验证是否一致。这样比存明文安全些。
: 如果公钥被盗了,重新生成一个密钥对,拿出原来的私钥解密,用新公钥重新加密一下
: 存数据库里。
: 当然直接存密码+salt的哈希更安全。但有时候还是需要明文的。
|
r****t
发帖数: 10904 | 7 他说了要明文的
【在 g*****g 的大作中提到】
: 根本不需要,hash是one way的,登录的时候把密码hash一下做比较就可以了。
: 所有正常的网站都是这么做的。
|
a9
发帖数: 21638 | 8 现在很多md5值,sha1值都可以反查了。nnd这帮人整天啥事不干折腾这干嘛。
一下
【在 g*****g 的大作中提到】
: 根本不需要,hash是one way的,登录的时候把密码hash一下做比较就可以了。
: 所有正常的网站都是这么做的。
|
c****p
发帖数: 6474 | 9 还得加盐,不加盐可以用彩虹表反查。
【在 g*****g 的大作中提到】
: 根本不需要,hash是one way的,登录的时候把密码hash一下做比较就可以了。
: 所有正常的网站都是这么做的。
|
P********e
发帖数: 2610 | 10 什么是加盐?
md5破解率有多高阿?
【在 c****p 的大作中提到】
: 还得加盐,不加盐可以用彩虹表反查。
|
c****p
发帖数: 6474 | 11 密码原文a,hash过后得A。
通过彩虹表,有可能找到一个hash后也为A的原文a',
这样即使输入a',也能通过密码验证。
所谓加盐是系统在生成hash的时候,
在密码原文后面附加一段只有服务器知道的原文,附加的这段就是盐。
这样用彩虹查出的a'就不可能hash出A。【 在 PaulPierce (Paul) 的大作中提到: 】 |
X****r
发帖数: 3557 | 12 盐的要点不在于只有服务器才能知道,而是在于各家用的盐是不一样的,即使hash函数
是一样的,就无法使用预先算好的彩虹表了。
【在 c****p 的大作中提到】
: 密码原文a,hash过后得A。
: 通过彩虹表,有可能找到一个hash后也为A的原文a',
: 这样即使输入a',也能通过密码验证。
: 所谓加盐是系统在生成hash的时候,
: 在密码原文后面附加一段只有服务器知道的原文,附加的这段就是盐。
: 这样用彩虹查出的a'就不可能hash出A。【 在 PaulPierce (Paul) 的大作中提到: 】
|
a9
发帖数: 21638 | 13 挺高的,当前我无聊搞到了某知名大妈网站一管理员的md5,竟然一下就反查到了,而
且是个既有大小写又有字母数字标点符号混合的密码。
我估计这帮人从各论坛、邮箱公司买密码\md5对应值。
【在 P********e 的大作中提到】
: 什么是加盐?
: md5破解率有多高阿?
|
p**o
发帖数: 3409 | 14 买啥对应值,买密码就够了...
话说这次泄密可以大大增强彩虹表啊
【在 a9 的大作中提到】
: 挺高的,当前我无聊搞到了某知名大妈网站一管理员的md5,竟然一下就反查到了,而
: 且是个既有大小写又有字母数字标点符号混合的密码。
: 我估计这帮人从各论坛、邮箱公司买密码\md5对应值。
|
