在我的网站注册中,出于安全原因,我在客户端对密码进行哈希处理,并在注册请求中将哈希版本发送到服务器。但在服务器端,再次出于安全原因,我想确保输入的密码长于特定长度。
这是一种从 SHA1 中获取字符串长度的方法吗?如果不是,您对我的情况有什么其他解决方案来处理提到的两个安全问题。提前致谢
问问题
250 次
2 回答
2
现在有办法做到这一点。我你真的想在客户端对它进行哈希处理,你应该在对它进行哈希处理之前检查客户端的长度。这里有一些提示。
不过,更好的方法是使用 HTTPS 进行注册。这样密码就受到保护了。
自己做散列等问题是可能做错了。例如,不推荐使用 SHA-1。PS。如果您散列,请记住使用盐。
https 的一个骗局当然是为可能的中间人攻击打开了大门。如果它的安全性真的很高,你可以两者都做。这很可能是非常矫枉过正的。
于 2013-02-22T10:15:04.953 回答
1
不要那样做。
在客户端对密码进行哈希处理,并将哈希值与服务器上存储的密码进行比较。相当于存储纯文本密码。
攻击者无需知道实际密码,就像哈希已成为密码一样。
于 2013-02-23T13:30:16.173 回答