程序员经验分享-hwhale

硬编码密码应该加盐/散列吗?

2024-03-21

StackOverflow 上有很多关于简单、无数据库登录系统的问题。我正要建议一种加盐哈希方法最近的一个 https://stackoverflow.com/q/10688529/825789,当我想:“这样做真的有意义吗?”。

多年来,我一直在数据库上存储加盐哈希值,并且我明白为什么它更安全:如果数据库受到损害,它包含的信息将不允许任何人登录我的系统(与我在数据库中存储纯文本密码不同) D b)。

但在不涉及数据库的设置中,散列+加盐是否提供任何安全优势?我能想到的唯一原因是,如果攻击者获得对我的服务器端代码的只读访问权限,则不可能找出任何密码。这是可能的情况吗?因为一旦攻击者获得对文件的写访问权限,他就可以做任何事情。

所以我的问题是:在设置非常简单的无数据库登录系统时,密码应该加盐/散列,还是仅存储为纯文本?


是的,它仍然为哈希提供了好处and salt他们。如果脚本的源代码被泄露,人们可以简单地使用硬编码密码或谷歌来获取哈希值,并可能找到输入值。对于加盐哈希来说,这两种情况都是不可能的。

本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

languageagnostic

passwords

硬编码密码应该加盐/散列吗? 的相关文章

  • PHP 密码的正则表达式 [重复]

    这个问题在这里已经有答案了 我在网上找到了一个脚本 它有一个 JavaScript 中的密码正则表达式 我仍然想使用它 但为了更安全 我也想使用 PHP 来验证我的密码 但我对正则表达式毫无用处 要求 必须至少 8 个字符 必须包含至少 1

  • 如何在MySQL 8.0.11中重置root密码?

    我实际上丢失了 root 密码 我需要更改它 我按照以下步骤操作 步骤 1 停止 MySQL 服务器进程 步骤 2 使用以下命令启动 MySQL mysqld 服务器 守护进程 skip grant tables 选项 这样就不会提示输入密

  • 优化康威的“生命游戏”

    为了进行实验 我 很久以前 实施了康威的生命游戏 http en wikipedia org wiki Conway s Game of Life 而且我知道this https stackoverflow com questions 18

  • 为什么不是每种类型的对象都可序列化?

    为什么不是每种类型的对象都是隐式可序列化的 以我有限的理解 对象不就是简单地存储在堆上并将指向它们的指针存储在堆栈上吗 难道您不应该能够以编程方式遍历它们 以通用格式存储它们 并且还能够从那里重建它们吗 某些对象封装了无法访问的资源 例如文

  • 如何正确区分树(即嵌套的字符串列表)?

    我正在使用由嵌套字符串列表组成的数据类型的在线编辑器 请注意 如果每次更改单个值时我都要传输整个结构 那么流量可能会变得难以忍受 所以 为了减少流量 我想到了应用 diff 工具 问题是 如何找到并报告两棵树的差异 例如 ah bh ha

  • 多个资源的 REST 接口使用

    我目前正在通过 http 添加 REST API 到在线服务 我遇到了一个非常简单的问题 我找不到令我满意的答案 我主要有 2 个资源 用户 和 报告 正如您所猜测的那样 报告与用户相关联 与一个且仅一个 我的数据库中的外键 不管怎样 我有

  • 是否可以通过括号来防止死亡?

    有时 我会编写一些带有比我喜欢的更多括号的代码 if new Day new Date millisecondsPerDay 75 instanceof oldDay Bonus points if that condition made

  • 如何使用TortoiseSVN更改密码?

    我需要更改我的 SVN 密码 我正在使用 TortoiseSVN 客户端 我找不到密码更改或添加用户选项 是否可以 是否有任何解决方法或命令行语法来创建 SVN 用户或编辑用户 更改访问 Subversion 的密码 通常这将由您的 Sub

  • 无扫描器解析器生成器

    序幕 尽管解析器 上下文无关语法 识别的语言集严格大于扫描器 常规语法 识别的语言集 但大多数解析器生成器都需要扫描器 请不要试图解释其背后的原因 我很了解它们 我见过解析器 不需要像这样的扫描仪 Elkhound http scottmc

  • 在动态 Web 项目中处理配置(数据库登录名和密码等)的正确方法是什么?

    我刚刚开始使用 JSP 进行动态 Web 编程 处理配置的正确方法是什么 例如 数据库名称 主机 登录名和密码以及服务器中的索引目录等 我最关心的是密码的安全性 目前我将数据硬编码到 java 文件中 我认为这不是正确的方法 所以我想从您的

  • 替代位置基础系统(十六进制、八进制、二进制)如何工作?如何将它们转换为十进制?

    我以前在编程课上没有学过这一点 但现在我需要知道它 有哪些学习这些数字以及如何转换它们的好资源 我几乎会像记住乘法表一样记住这些 在我们日常的十进制系统中 基数或radix http en wikipedia org wiki Radix

  • C# 中的密码恢复工具不起作用

    嗨 我对此还很陌生 我创建了一个门户 用户可以登录并在其中查看我制作的其他程序 问题是密码恢复似乎不起作用 我没有收到任何错误消息 我只是收到消息 我们无法访问您的信息 请重试 我已经正确设置了 ASP NET 配置 并使用不同的用户和权限

  • 数据库、表和列命名约定? [关闭]

    Closed 这个问题是基于意见的 help closed questions 目前不接受答案 每当我设计数据库时 我总是想知道是否有命名数据库中项目的最佳方法 我经常问自己以下问题 表名应该是复数吗 列名应该是单数吗 我应该为表或列添加前

  • Lockfree 标准集合和教程或文章

    有人知道用于无锁常用数据类型的实现 即源代码 的好资源吗 我正在考虑列表 队列等 锁定实现非常容易找到 但我找不到无锁算法的示例以及 CAS 的工作原理以及如何使用它来实现这些结构 查看 Julian M Bucknall 的博客 他 详细

  • 使用单个查询和每用户密码盐进行用户登录

    我决定使用存储在数据库中的每用户盐来实现用户登录 盐作为密码的前缀 该密码使用 SHA 进行哈希处理并存储在数据库中 过去 当我不使用盐时 我会使用典型的方法 使用用户输入的用户名和密码来计算查询返回的行数 然而 对于每个用户的盐 您需要先

  • 在 MySQL 表中存储用户密码的最佳 PHP 哈希方法?

    我已经阅读 Stack Overflow 问题大约 15 分钟了 每一个问题似乎都与我之前读到的问题相矛盾 Bcrypt SHA1 MD5 等 我目前对我的密码进行 MD5 但我想让我的数据库在发生泄露时更加安全 我知道这个问题已经被问了一

  • 未使用的功能会产生什么后果

    我想知道在代码中使用未使用的函数会产生什么 如果有什么后果 如果您查找并删除所有未使用的函数和变量 性能是否会有明显的改进 或者删除未使用的函数和变量只是一个好习惯 未使用的功能不会损害性能 他们让维护代码的人的工作变得更加困难 现代 ID

  • TeamCity 用户名/密码

    你好 我很久以前就在我的家用电脑上安装了 teamcity 我现在尝试再次重新使用它 但我忘记了管理员用户名和密码 是否有默认的管理员用户名 我怎样才能得到密码 Thank 在 TeamCity 8 中 您可以以超级用户身份登录并以这种方式

  • 类是否应该有静态和非静态成员

    我试图找出一个类何时适合同时具有静态和非静态函数 又名 obj new ClassA obj gt doOOPStuff something ClassA doStaticStuff Note This example is done in

  • 快速约会算法

    我在一家咨询公司工作 大部分时间都在客户所在地 正因为如此 我很少见到同事 为了更好地了解彼此 我们将安排一个晚宴 会有很多小桌子 方便人们聊天 为了在聚会期间与尽可能多的不同的人交谈 每个人都必须每隔一段时间 比如每小时 换一张桌子 如何

随机推荐

  • 函数构造函数和原型构造函数有什么区别?

    我想知道这有什么区别 MyClass function MyClass prototype Foo function and this MyClass MyClass prototype constructor function MyCla

  • 如何在androidsharedPreference中存储类对象?

    我想将类对象存储在android共享首选项中 我对此进行了一些基本搜索 得到了一些答案 例如使其可序列化对象并存储它 但我的需求非常简单 我想存储一些用户信息 例如姓名 地址 年龄和布尔值是否处于活动状态 我为此创建了一个用户类 publi

  • asp.net mvc 按名称和区域查找控制器

    我的目标是从控制器的名称和区域中找到控制器 如果我当前的httpContext与待找到的控制器位于同一区域内 但是 我无法拨打电话ControllerFactory考虑面积 这是我的代码 public static ControllerBa

  • 匹配 JavaScript 中除特定模式之外的所有内容

    经过多次搜索 我仍然感到困惑 如何匹配字符串中除与给定模式匹配的内容之外的所有内容 我找到了使用以下方法否定特定单词或字符集的解决方案 或负面展望 但我需要一个解决方案来否定任何与特定模式匹配的内容 示例文本 html 片段 abcd ef

  • java.lang.IllegalStateException:指定的子级已经有父级

    当我第一次实例化一个片段时 我正在使用片段 但第二次我遇到了这个例外 我找不到出错的行 04 04 08 51 54 320 E AndroidRuntime 29713 FATAL EXCEPTION main 04 04 08 51 5

  • GPU 上非原子写入的保证很弱吗?

    OpenCL 和 CUDA 包含原子操作已有好几年了 尽管显然并非每个 CUDA 或 OpenCL 设备都支持这些操作 但是 我的问题是关于由于非原子写入而 共存 种族的可能性 假设网格中的多个线程都写入全局内存中的同一位置 我们是否可以保

  • Swing 如何以编程方式关闭 JPanel

    我的主类扩展了 JPanel 我在这个面板上创建了一个表格和一个按钮 现在我想在用户按下它时关闭这个面板 互联网上的关闭示例是关于 JFrame 的 JPanel 有解决方案吗 有一个面板 面板上有一个表格和一个按钮 我向按钮添加一个动作侦

  • 上传图片并上传后查看

    我正在尝试在 Angular 5 2 和 Laravel 5 5 中上传个人资料图片 我可以成功地将图像上传到本地存储中的单独文件夹 然后我想像在 Facebook 中一样显示上传的图像 然后我可以查看上传的图像 但它没有上传到文件夹 这是

  • Django - 新字体?

    如何使用 Django 安装新字体 文档中没有提及这一点 我将字体安装在静态文件夹中 例如 fonts abc ttf 例如 在模板中 如果这是一个 CSS 我会这样链接它 但这不是 CSS 而且我还没有找到任何有关如何执行此操作的资源 我

  • Java 中的最终接口?

    Java中的接口可以声明为final吗 接口是 100 抽象的 创建接口实例的唯一方法是实例化实现它的类 允许接口final完全没有意义 EDIT这些问题并不像我最初想象的那么令人震惊 最终接口是不能由其他接口扩展但表面上可以实现的接口 我

  • Google 电子表格脚本问题 - 错误:服务超时:Apps 脚本

    我一直在尝试编写一个快速的谷歌脚本来计算婚礼邀请回复电子表格的回复人数 随着新条目添加到电子表格中 该脚本完美运行了一周 然后突然停止工作 每个单元格中出现以下错误消息 错误 服务超时 Apps 脚本 脚本本身很简单 它查询相关列 有多个事

  • Google App Engine 尝试访问开发数据

    我在本地计算机上运行我的应用程序 并使用远程 API 访问生产端的数据存储区 一切都工作得很好 直到我尝试在谷歌应用程序引擎启动器中添加第二个应用程序 我相信这就是导致问题的原因 因为我必须将我正在处理的内容与一些更新的代码合并 并想在我去

  • 如何在 Flutter 中单击另一个扩展图块后折叠已打开的扩展图块?

    我在我的应用程序中使用多个扩展图块 我需要在单击另一个图块后关闭已打开的图块 我尝试过使用默认情况下具有该功能的扩展面板 但我需要重新设计扩展瓷砖 所以我使用扩展瓷砖 如何在扩展磁贴中实现该功能 这个答案在 GitHub 上 https g

  • 如何使用“pip install”运行单元测试?

    在工作中 我们正在考虑配置本地 pypi 存储库以用于内部软件部署 使用 pip install 进行部署会很方便 但我担心添加新包后应该执行单元测试以确保正确安装 我一直认为 pip 正在这样做 但我在 pip 文档中没有看到任何与测试相

  • Phonegap Android 项目适用于模拟器,不适用于实际手机

    我正在运行最新版本的android及其SDK 并且我正在使用phonegap创建移动应用程序 我的问题是 我正在请求 Web 服务 并且在 html 的标签中显示收到的消息的内容 Web 服务工作正常 显示功能工作正常 甚至在模拟器上运行也

  • javascript字符串分割中的正则表达式,浏览器兼容性问题

    我一直在调查这个问题 随着我深入研究 这个问题似乎只会变得更糟 我开始天真地尝试使用这个表达式来分割 HTML br 标签上的字符串 T captions innerHTML split

  • 使用 CCDT 连接到 MQ 服务器

    我正在尝试连接到MQ使用中存在的信息CCDT文件 我目前可以连接到MQ使用所有详细信息 从队列中获取消息以及将消息放入队列中 经过广泛的谷歌搜索后 我无法找到任何允许我使用以下命令进行连接的示例代码CCDT file 我的一位同事向我转发了

  • Xamarin iOS - 缺少所需的文件图标错误 ITMS-90022 和 ITMS-90023

    运行 Xamarin 的最新稳定版本 Xamarin 版本 4 1 1 3 Xamarin iOS 9 8 1 并尝试构建我的 Xamarin Forms 应用程序以发布到 iTunes Connect 进行试飞 尝试为 AppStore

  • 使用数据注释进行日期时间(日期和时间)验证

    我有以下代码 DisplayName 58 Date and hour of birth DataType DataType DateTime ErrorMessage Please enter a valid date in the fo

  • 硬编码密码应该加盐/散列吗?

    StackOverflow 上有很多关于简单 无数据库登录系统的问题 我正要建议一种加盐哈希方法最近的一个 https stackoverflow com q 10688529 825789 当我想 这样做真的有意义吗 多年来 我一直在数据

热门标签