程序员经验分享-hwhale

我的密码盐应该有多大? [复制]

2023-12-27

可能的重复:
用户密码盐的最佳长度是多少? https://stackoverflow.com/questions/184112/what-is-the-optimal-length-for-user-password-salt

我有一个如下所示的数据库:

create table user (id int primary key auto increment,
     username varchar(64),
     password varchar(128), # sha512 hash of password
     password_salt varchar(128) # sha512 hash of a random number used as salt
)

这是使用盐确保密码安全的好主意吗?盐应该放多长时间?我认为拥有 128 位(SHA-512)盐不会有什么坏处,但我以前就错了。


我有几个意见:

  • 每个用户的盐应该是随机且唯一的,但它们不必是哈希摘要 https://stackoverflow.com/questions/4000440/should-the-salt-for-a-password-hash-be-hashed-also。盐的想法只是使每个用户的哈希摘要都是唯一的,以抵抗字典攻击和彩虹表攻击。无论盐的长度如何,盐都不会增加哈希摘要算法的强度。

  • DES 使用 12 位作为盐。更新后的 UNIX 密码系统使用更多,最多 128 位。

  • 如果您想要更强的密码,请考虑使用bcrypt http://bcrypt.sourceforge.net/ or PBKDF2 http://en.wikipedia.org/wiki/PBKDF2.

  • FWIW,无论输入的长度如何,SHA-512 哈希摘要(编码为十六进制数字)始终恰好是 128 个字符。所以我会使用 CHAR(128) 而不是 VARCHAR(128)。使用 BINARY(2) 或 BINARY(3) 作为盐。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

security

databasedesign

passwordhash

我的密码盐应该有多大? [复制] 的相关文章

  • 检查字符串是否是哈希值

    我正在使用 SHA 512 来散列我的密码 当然还有盐 我认为我想要的不可能 但无论如何我们还是要问一下 有没有办法检查字符串是否已经是 SHA 512 或其他算法 哈希值 当用户登录时 我想检查他的密码 如果它仍然是纯文本 则应将其转换为

  • MySQL JOIN 滥用?情况会变得有多糟糕?

    我读了很多关于关系数据库的文章 在每个 SELECT 上使用许多 JOIN 语句 但是 我一直想知道滥用这种方法从长远来看是否会出现任何性能问题 例如 假设我们有一个users桌子 我通常会添加 最常用 的数据 而不是进行任何额外的联接 例

  • 通过 URL 指定控制器类与为每个控制器编写一个脚本相比,有何优缺点?

    今年夏天我安装了两个不同的 PHP 系统 每个都使用两种不同的方法 方法 1 每个任务一个 PHP 文件 该方法需要一个PHP为每个主要任务创建文件 例如 我的上传脚本可以通过http www domain com upload php O

  • 我可以在 PHP 会话变量中安全地存储用户名和密码吗?

    我想在 REST api 之上制作一个轻量级的 web 应用程序 用户只需进行一次身份验证 从那时起 所有针对 web api 的请求都希望通过以某种方式保持用户名和密码有效来完成 我已经做了一个工作原型我在哪里将用户名和密码存储在会话变量

  • 数据加密

    存储大量信用卡信息的数据库是我们刚刚完成的系统中不可避免的一部分 不过 我想要的是卡号的最终安全性 我们可以设置一种加密和解密机制 但我们自己无法解密任何给定的号码 我所追求的是一种即使在数据库级别也能保护这些信息的方法 这样任何人都无法进

  • 如何正确设计数据库的这一部分(循环引用?)

    情况 一个公司有很多项目一个项目有很多标签一个项目只属于1家公司一个标签可以属于多个项目公司必须有权访问自己的标签 示例1 在第一张图片中 公司的所有标签都可以通过projects project tag 获得 但如果所有项目都被删除 那么

  • FormsAuthentication:安全吗?

    Using 表单验证构建成asp net创建一个为经过身份验证的用户创建 cookie 的登录系统非常快速且简单 FormsAuthentication SetAuthCookie uniqueUsername false 与中的一些代码配

  • 除了用户名/密码之外的安全性?

    我有一个 Web 应用程序 其安全性要求高于普通 Web 应用程序 当任何用户访问域名时 他们都会看到两个文本字段 一个用户名字段和一个密码字段 如果他们输入有效的用户 密码 他们就可以访问 Web 应用程序 标准的东西 但是 我正在寻找超

  • checkmarx - 如何解决存储的绝对路径遍历问题?

    Checkmarx v 9 3 0 HF11 我将 env 值作为 dev uat 服务器中使用的 docker 文件中的数据目录路径传递 ENV DATA app data 在本地 使用以下环境变量 数据 C 项目 应用程序 数据 get

  • .NET 中安全身份的本地化

    我想在 NET 中实现一个用于服务 客户端通信的命名管道 并遇到了这段代码 http code msdn microsoft com windowsdesktop CSNamedPipeCommunication 33b2485c view

  • 如何使用 Javascript OAuth 库不暴露您的密钥?

    看着Twitter OAuth 库 https dev twitter com docs twitter libraries 我看到了这个注释 将 JavaScript 与 OAuth 结合使用时要小心 不要暴露你的钥匙 然后 看着jsOA

  • 还记得我的 Cookie 最佳实践吗?

    我读到了许多关于这个论点的老问题 我认为最好的做法是设置一个 cookieusername user id和一个随机令牌 相同 cookie 的数据在 cookie 创建时存储在数据库中 当用户拥有 cookie 时 它 们会进行比较 co

  • “openssl 编程简介。”文章。过期的证书

    我是 openSSL 库和 PKI 的新手 我有一个简单的问题要问 openSSL 专家 有谁知道如何为本文中的代码示例创建证书 OpenSSL 编程简介 第一部分 第二部分 作者 Eric Rescorla www rtfm com op

  • 我仍然认为在客户端哈希密码更好。我错了吗?

    我读过这些 https hackernoon com im harvesting credit card numbers and passwords from your site here s how 9a8cb347c5b5 https

  • Delphi 应用程序被 Google Chrome 视为“危险”

    我经常用Delphi 2009制作数学软件 并将其发布在我的网站上 然而 去年左右 Google Chrome 开始认为我的一小部分 但数量不断增加 EXE 是 有害的 并且 Google Chrome 拒绝下载它们 例如 今天我编写了一个

  • ASPXAUTH Cookie 的安全标志

    我们有一个面向外部的应用程序 由外部安全公司进行了渗透测试 应用程序在 ASP NET MVC4 上开发并在 IIS8 Windows 2012 Server 上运行 报告的漏洞之一是 ASPXAUTH 不安全 当我检查 cookie 检查

  • 保护移动连接 - 存储秘密和密钥

    感谢您花时间阅读本文 我是一名年轻的开发人员 在 Web 项目和服务器端编码方面拥有一些专业经验 但我现在正在构建我的第一个移动应用程序 经过在线深入研究后 我还没有能够澄清我关于保护移动应用程序数据传输的一些问题 这是我认为我理解正确的

  • 在 JAX-WS 中使用安全性的最佳实践是什么

    这是场景 我有一些需要保护的 Web 服务 JAX WS 目前 为了身份验证需求 我提供了额外的 SecurityWService 它为授权用户提供了一些需要在请求其他服务时描述的 userid 和 sessionid 使用一些java安全

  • Java Web Start 的证书已过期

    JWS 对代码签名证书过期有何反应 根据我的观察 它似乎忽略了 CA 签名证书的到期日期 但我想找到一些确凿的证据 例如官方文档 来证实这一点 如果签名的 jar 被赋予时间戳 来自时间戳权威 那么即使在证书过期之后签名仍然有效 假设时间戳

  • AJAX 安全问题

    我希望能够解决一些关于 AJAX 安全性的问题 这是我试图理解的一个场景 假设我正在使用 AJAX 向页面请求一些半敏感材料 例如 我将把用户的 ID 传递给一个 php 文件 并返回一些关于他们自己的信息 现在 是什么阻止人们模拟此 Ja

随机推荐

  • 在 Flex 4 中使用 HTTPS Web 服务

    我正在尝试在 Adob e Flash Builder 中使用一项 HTTPS Web 服务 当我添加 URL 时 出现此错误 服务期间出现错误 内省 WSDL异常 故障代码 OTHER ERROR 无法 解析导入的文档 https 172

  • 蟒蛇 |如何使用 Tkinter 进行快速反应测试?

    我尝试使用 Python 中的 Tkinter 模块制作一个快速反应测试器 但是当我单击Start按钮 它只是冻结窗口 我不知道如何恢复 这是我的代码 import webbrowser as wb import time import m

  • 使用 SQL 关键字作为列的别名

    我正在执行以下查询 但它给出语法错误 因为关键字key已在 SQL 中注册 SELECT id AS key country name AS value FROM countries 我也尝试过使用这样的括号 但它不起作用 SELECT i

  • 使用 Gradle 访问私有 Maven Github 包注册表

    我在用户下有一个私人存储库X和存储库名称Y https github com X Y https github com X Y 这是一个使用 Gradle 构建的 Java 项目 Gradle配置文件已经按照官方说明进行配置Github 包

  • 更改视角会导致弹出错误,调试视角不再起作用

    刚刚安装了 Eclipse Juno 从那时起就遇到了透视问题 除了编辑器窗口非常小并且仅限于显示的一个角落 在调试中 在 Java 透视图中没问题 之外 我在更改透视图时也会遇到错误 建议 如果我不能解决这个问题 我就会回到 Indigo

  • 如何在 ipython 笔记本中启用换行

    我一直在尝试在 ipython 笔记本中启用换行 我用谷歌搜索没有结果 然后我在终端中输入了 ipython notebook help 这为我提供了大量配置文件的配置命令 但没有换行 有谁知道 ipnotebook 是否有此功能 如果有如

  • 使用 os_unfair_lock_lock 进行快速访问竞争

    我制作了一个自定义属性包装器 它提供了一种使用互斥上下文访问数据的方法os unfair lock 在启用 TSAN 的情况下测试我的包装器后 在使用以下命令获取锁时报告了访问争用错误os unfair lock lock 如下图所示 不知

  • 如何配置每个 pod/进程使用不同的 kafka 主题分区

    我有一个有 5 个分区的 kafka 主题 我当前有 5 个 pod 正在使用这 5 个分区 但是 由于特定需求 我需要每个 Pod 仅从其分配的分区中进行消费 但由于 pod 在 kubernetes 上都具有相同的配置 我无法告诉每个

  • 组件和子组件

    我是 Vue js 新手 在使用带有子组件的组件时遇到了一些问题 我有以下内容 vue files app vue

  • 如何在 ActiveAdmin 视图中使用在控制器中定义的实例变量?

    我有这个 ActiveAdmin register User do controller do def show user User find params id show end end show do attributes table

  • 无法通过cmd运行C程序

    大家好 我正在学习 C 正在尝试弄清楚如何通过命令控制台 cmd 运行它 我已经安装了 eclipse 和 Mingw 并将它们添加到路径中 C MinGW bin C MinGW msys 1 0 bin 我在 notepad 上编写了这

  • 使用单个 Helm Chart 部署多个服务

    我是 helm 和 kubernetes 的新手 我当前的要求是使用通用舵图设置多个服务 这是场景 我有一个适用于所有服务的通用 docker 映像 对于每个服务 都需要运行不同的命令 总共有40多项服务 Example pipenv ru

  • 如何在 Visual Studio 中查找特定类的重载运算符的所有引用?

    如果我有一个包含重载 运算符函数的类 我如何找出整个代码中使用该重载运算符的位置 除了在重载的 方法中放置一个断点并查看代码是否命中它之外 我尝试转到 Visual Studio 中的类视图 右键单击该方法 然后选择 查找所有引用 但它声称

  • 在Excel中连接多个匹配项

    请看下面 我想将表 2 中的 注释 连接到表 1 中 如一系列图像所示 而不使用 TEXTJOIN 或宏 仅使用常规 Excel 函数 不使用 UDF 或辅助列就没有简单的解决方案 我建议使用 UDF 公式 它很容易在工作表中实现和使用 要

  • Vba 从互联网下载文件 WinHttpReq 登录不起作用

    我一直在寻找一种解决方案来自动从网站下载 csv 表 但我还没有找到可行的解决方案 如果我使用 IE 或 Chrome 在上次登录后输入网址 文件会自动开始下载 为此 我有另一种方法通过 IE 和 HTML 对象通过导航然后保存来实现我所需

  • 如何使 C-p 成为 Devel::PerlySense 的 Emacs 前缀键?

    我刚刚安装开发 PerlySense http search cpan org dist Devel PerlySense 0 0180 我已将以下内容放入我的 emacs 文件中 PerlySense load perly sense g

  • 滑动菜单 - 从右到左

    我正在尝试使用下面示例中的滑动菜单 https github com eddieringle android undergarment https github com eddieringle android undergarment 但这

  • SCons:获取原始文件的绝对路径(就好像我没有设置variant_dir一样)

    我可以用File foo bar abspath获取文件的位置 但如果我设置了variant dir 则返回的路径将位于variant dir而不是原始位置 如果我有duplicate 0设置 那么返回的文件实际上并不存在 显然 SCons

  • 运行 ImageMagick 将低质量 pdf 转换为图像(用于 OCR)的最佳参数是什么

    我有几个低质量的 pdf 文件 我想使用 OCR 更准确地说Ocropus http code google com p ocropus 从他们那里获取文本 要使用 我首先使用图像魔术师 http www imagemagick org s

  • 我的密码盐应该有多大? [复制]

    这个问题在这里已经有答案了 可能的重复 用户密码盐的最佳长度是多少 https stackoverflow com questions 184112 what is the optimal length for user password

热门标签