密码安全是许多人关心的问题。
我想包含一个“了解我们的密码安全性”链接,说明我们使用 bcrypt 进行密码散列以及它是如何工作的。
公开此信息是否会导致任何安全问题或降低我的系统安全性?
密码安全是许多人关心的问题。
我想包含一个“了解我们的密码安全性”链接,说明我们使用 bcrypt 进行密码散列以及它是如何工作的。
公开此信息是否会导致任何安全问题或降低我的系统安全性?
“系统安全不应依赖于实施或其组件的保密性。”
您指的是通过默默无闻的安全性。假设——除了密钥——加密系统即使是已知的也应该保持安全。如果您依赖实施的保密性,您应该转移到另一个系统。
在散列的情况下,如果不存在已知的反散列方法,则系统是安全的。使用您的哈希算法的人越多,随着时间的推移,它就越安全。
它不应该使您的系统更安全,因为这些算法是公开的,并且您希望通过默默无闻来避免安全性。但是,攻击者对您所做的和使用的内容了解得越少越好。
导致问题的最可能情况是攻击者发现库中的漏洞。如果他们不知道您使用它,那么他们就无法使用它来对付您。