StackOverflow 上有很多关于简单、无数据库登录系统的问题。我正要建议一种加盐哈希方法最近的一个 https://stackoverflow.com/q/10688529/825789,当我想:“这样做真的有意义吗?”。
多年来,我一直在数据库上存储加盐哈希值,并且我明白为什么它更安全:如果数据库受到损害,它包含的信息将不允许任何人登录我的系统(与我在数据库中存储纯文本密码不同) D b)。
但在不涉及数据库的设置中,散列+加盐是否提供任何安全优势?我能想到的唯一原因是,如果攻击者获得对我的服务器端代码的只读访问权限,则不可能找出任何密码。这是可能的情况吗?因为一旦攻击者获得对文件的写访问权限,他就可以做任何事情。
所以我的问题是:在设置非常简单的无数据库登录系统时,密码应该加盐/散列,还是仅存储为纯文本?
是的,它仍然为哈希提供了好处and salt他们。如果脚本的源代码被泄露,人们可以简单地使用硬编码密码或谷歌来获取哈希值,并可能找到输入值。对于加盐哈希来说,这两种情况都是不可能的。
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)