データベースに保存する前に md5(password.salt) する必要があることを理解しています。しかし、いくつか興味深い質問があります: + コンテンツ/テキスト文字列も (パスワードをソルトとして) MD5 する必要がありますか? 例: データベースが漏洩した場合、攻撃者はクローズド フォーラムのコンテンツを読み取ることができませんデータベースをお持ちですか?
質問する
543 次
1 に答える
4
パスワードをハッシュ化する目的は、データベースにアクセスする第三者がユーザーのパスワードを知るのを防ぐことです。データベースの内容は、そこまで進んでいる場合はすでに侵害されているため、フォーラムの内容はすでに公開されています。多くの人が複数の Web サイトで同じパスワードを使用しているため、ユーザーのパスワードが危険にさらされることは望ましくありません。
安全なフォーラムがある場合は、攻撃者がデータベースにアクセスするのを防ぐ必要があります。彼らが侵入すると、フォーラムの投稿が公開されます。それらをさらに保護しようと気にしないでください。攻撃者がデータベースへのアクセスを取得した場合、被害の表面領域を制限するという考え方です。サイト データは侵害されていますが、ユーザーの資格情報は侵害されていないことを願っています。銀行のユーザー名とパスワードを Web サイトで使用する人もいますが、それを保護しようとしています。
ハッシュ関数は一方向であることを忘れないでください。データのハッシュを解除することはできません。パスワードについてはこれで問題ありません。他の人のパスワードが何であるかを知る必要はありません。それらを比較できればよいだけです。フォーラムの投稿では機能しません。ハッシュは暗号化ではありません。暗号化されたデータは復号化できます。ハッシュ化されたデータは、ハッシュ化を解除できません。
于 2012-11-28T04:41:11.597 に答える