gsoap の wsseapi プラグインを使用しており、プレーン テキストではなくハッシュ化された sha1 パスワードを保存したいと考えています。プレーン テキストのパスワードをハッシュして保存するさまざまな方法を実験するのに、途方もない時間を費やしました。
クライアントから送信されたユーザー名トークン ダイジェストに対して後で検証できるように、パスワードをハッシュする方法を提案できる人はいますか?
保存されたハッシュに対して認証するためのクライアント パスワードを取得できないようです。
3 に答える
1
独自の暗号を転がさないでください。PBES2 ( PKCS#5 v2.1で指定) など、よく知られており、コミュニティによって受け入れられているスキームを使用します。運が良ければ、既製の実装を見つけることができます (ヒント: OpenSSLはおそらくそうです)。
于 2010-06-03T11:57:50.013 に答える
0
プレーンテキストのパスワードを保存しないのは良いことです。非常に高速に計算されるように開発されたハッシュを選択することは、それほど賢くはありません。http://www.tarsnap.com/scrypt.htmlで「鍵導出」の詳細を読んでください。基本的に、「ハッシュ化されたパスワードの計算」が大幅に遅くなるため、攻撃者はブルートフォースを使用しようとする際に速度が低下します。
于 2010-06-03T12:01:08.977 に答える
0
両側でプレーンテキストのパスワードが必要なようです。これは、サーバー上で、保存されたパスワードがクライアント側で作成された nonce を使用してハッシュされ、パスワード ハッシュが比較されるようにするためです。
クライアントが通常の英数字のパスワードを入力し、サーバーが比較のために同じパスワードの事前に保存されたハッシュアップされたバージョンを取得する方法があったのではないかと思いました。ノンス、タイムスタンプなどのために、これは不可能のようです
于 2010-06-11T16:33:03.853 に答える