私の Web サイト登録では、セキュリティ上の理由から、クライアント側でパスワードをハッシュし、ハッシュ化されたバージョンを登録要求でサーバーに送信します。ただし、サーバー側では、セキュリティ上の理由から、入力したパスワードが特定の長さよりも長いことを確認したいと考えています。
これは SHA1 から文字列の長さを取得する方法ですか? いいえの場合、上記の両方のセキュリティ問題を処理するために、私の状況で他にどのような解決策をお勧めしますか? 前もって感謝します
質問する
250 次
2 に答える
2
これを行う方法があります。私は本当にそれをクライアント側でハッシュしたいので、ハッシュする前にクライアント側で長さをチェックする必要があります。ここにいくつかのヒントがあります。
ただし、より良い方法は、HTTPS を使用して登録を行うことです。そうすれば、パスワードは保護されます。
自分でハッシュなどを行う際の問題は、間違って実行される可能性があることです。たとえば、SHA-1 は非推奨です。PS。ハッシュする場合は、忘れずにソルトを使用してください。
https の詐欺はコースから外れており、中間者攻撃の可能性が開かれています。セキュリティが本当に高い場合は、両方を実行できます。これはおそらく非常にやり過ぎです。
于 2013-02-22T10:15:04.953 に答える
1
そうしないでください。
クライアントでパスワードをハッシュし、そのハッシュをサーバーに保存されているものと比較します。平文のパスワードを保存するのと同じです。
攻撃者は実際のパスワードを知る必要はありません。ハッシュがパスワードになったようなものです。
于 2013-02-23T13:30:16.173 に答える