0

我已经阅读了一些关于密码加盐的问题,其中大部分涵盖了(我认为)我已经理解的内容。那是; 在密码哈希中包含随机盐的目的首先是为了防止两个哈希相同,即使密码相同也是如此。其次,为了阻止将哈希与预编译列表匹配的彩虹表攻击(因为没有一个预编译的哈希使用您使用的盐,因此需要为每个盐/哈希生成一个新的彩虹表)。如果我对此有任何误解,请随时纠正我。

现在我的问题是:如果攻击者可以访问您的哈希值(我们正在防范的场景),那么这意味着他们正在访问您的数据库。既然如此,哈希是什么肯定无关紧要,他们可以用他们想要的任何东西替换它吗?

4

2 回答 2

1

对数据库的读访问并不意味着对数据库的写访问。

所以是的,如果攻击者可以将密码哈希更新为已知的哈希密码 + salt,那么攻击者可以获得对特定帐户的访问权限。但是密码哈希的转储可能来自直接数据库访问以外的地方。

于 2012-03-03T02:17:42.083 回答
1

这一切都取决于帐户的权限。如果只读帐户被黑客入侵,他们只能阅读,但如果更高级别的帐户被黑客入侵,那么,攻击者越往上走就拥有更高的权限。

于 2012-03-03T02:20:38.583 回答