1

だから私はログインシステムを持っていて、それを安全にするためにいくつかのセキュリティ対策を講じました. まず、パスワードをソルトします。

$salt = openssl_random_pseudo_bytes(1024);
file_put_contents("salt.txt", $salt);

次に、ワールプール アルゴリズムを使用してハッシュします。

function myhash($password){ 
    $salt = file_get_contents("private/salt.txt");
    $password = hash_hmac('whirlpool',$password,$salt);
    return $password;
}

これは、返されてデータベースに保存されるパスワードの例です。

56a8cf545750eec78cb58582829636b1e0378cf0fff4982305a7171f06593fb92735d3576f0ad7ba8aec40c914abc38424885cb7ac2672b1d8da36e3b95c80ce

ここで私の質問: ハッカーが上記の長い文字列を復元できた場合、実際のパスワードを返すために、何らかの方法でそれを逆/復号化できるでしょうか。皆さんの考え/知っていることを教えてください。それは不可能ですか?

これは、人々が私に他のことを提案するためのスレッドではありません。回答は 1 つの質問に厳密に関連したものにしてください。

4

2 に答える 2

0

攻撃の 1 つの領域は、2 つの同じパスワードが同じ文字列になることです。これは、全員に同じソルトを使用するためです。

したがって、何も解読しなくても、誰が同じパスワードを持っているかを知ることができます。これはおそらくパスワードが弱いことを示しており、そこでブルート フォース攻撃を開始できます。

于 2014-06-06T08:20:40.400 に答える