问题标签 [password-encryption]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票
3 回答
1487 浏览

cookies - https 上的明文密码存储在客户端时是否仍然安全?

在使用属性(httpOnly 和 secure=true)在服务器上设置 Cookiee 时,这是否意味着它只会在服务器和客户端之间的通信期间受到保护,而不是在那之后?换句话说,如果该值最初是在 plainText 中 - 它是否也会与 plainText 一起存储在客户端(在使用 https 之后) - 使其不安全/易受攻击?

1)在发送之前是否需要始终加密密码(即使使用 https)?

2) httpCookiee (withsecure=true) 存储在哪里?这个存储访问是否受到保护?

0 投票
2 回答
915 浏览

php - 使用 PHP 的 crypt() 函数时使用 base64_encode

我有一个简单的问题要问你们:

我正在修补 PHP(我相对缺乏经验),并且有兴趣开发一个安全的密码散列系统以在我的网站上使用。通过关于 SO 的其他文章和问题,我推测我应该使用 PHP 的crypt()函数来实现 BSD 的bcrypt哈希算法。

我向您提出的问题是,当我为函数提供初始化向量或密码时,不是 base64 的输入似乎返回“0”作为哈希值。这是我为解决此问题而实施的方法:

当我像这样更改编码时,是否存在碰撞危险或以其他方式降低安全性?

我的想法是,我希望允许用户使用任何范围的字符作为他们的密码(我将执行一个好的密码策略),而不必担心我的散列函数返回一个空的散列。

有没有更简单或更优雅的方法来做到这一点?我是否应该使用不会限制我的盐和密码的哈希函数?

提前感谢您能给我的任何帮助。

0 投票
1 回答
1289 浏览

database - 将密码存储在数据库中的首选可恢复方法

我想在服务器上的数据库中存储一些密码。

密码应该是可恢复的,因为我想将它们用于需要密码的第三方 api。(所以我不能使用像md5这样的单向方法......)

将密码保存在数据库中的最佳方法是什么?没有比存储纯文本更好的方法吗?

0 投票
5 回答
1889 浏览

php - php中的屏蔽密码

嗨,有一个 xml,我在其中分配了我从第三方获得的密码值。我想掩饰在里面。我想隐藏那个密码。代码在 php.ini 中。是否可以在 php 中屏蔽密码?

0 投票
1 回答
2429 浏览

asp.net-membership - 黑客可以解密 ASP.NET 会员密码吗?

我正在使用默认的 SQL 提供程序、默认的 web.config 设置来实现 ASP.NET 成员资格。

我注意到密码是散列的。但我不知道 asp.net 如何对我的密码进行哈希处理,所以我不确定黑客是否有可能解密这个?

如果 asp.net 使用相同的规则来散列密码,这是每个人都知道的。比黑客可以轻松破解它。

例如。如果 asp.net 使用 MD5(123456),结果是“E10ADC3949BA59ABBE56E057F20F883E”,那么黑客可能有一个 MD5 字典来查找它。

我的设置是:

-- SQL 语句:

-- 结果是:

密码是123456,变成“tpeiwPt5+kFbcocQZOuc4aoHeuI=”。

这个值在不同的机器或不同的应用程序上总是相同的吗?

如果这个值与盐“PVq9dPtbFxze9Erbfd7HrA==”有关,那么黑客是否有可能使用这个盐来解密我的密码?

0 投票
1 回答
253 浏览

ruby-on-rails - Rails 3.2.7 和 Spree 1.1.2。当我尝试访问 CART 时,有调试信息显示“未定义的方法 `password_salt=' ..”

我使用 RailsInstaller (v2.1.0) 在 Windows7 上安装了 rails。我发现原来的 rails 是 v3.2.1。之后,我“gem install spree”。似乎安装将导轨升级到 v3.2.7。我提到这一点是因为在昨天之前它只是 3.2.6。在 rails 3.2.6 下一切都很顺利,但如果我“疯狂安装”一个 rails 3.2.7 应用程序,我无法访问默认商店的购物车。并得到这样的错误:

当我检查数据库时,是的,spree_users 表中没有“password_salt”,只有“salt”。

有没有其他人遇到过这个问题?我花了将近半天的时间来解决这个问题。我错过了 Spree 路径中的某些内容吗?

非常感谢。

0 投票
4 回答
2256 浏览

security - 最小用户密码长度

在英国的 Tesco 进行在线杂货购物的用户帐户需要 6 到 10 个字符的密码。虽然他们将密码限制为 10 个字符(我的密码生成器默认为 32 个)让我有些恼火,但他们允许 6 个字符的密码来保护用户数据(包括信用卡详细信息)这一事实让我感到担忧。

6 个字符的密码是否代表安全风险,或者它们是一个很好的例子?

0 投票
2 回答
94 浏览

relational-database - 对用户名和密码进行哈希处理会产生任何安全优势吗?

对用户名和密码进行哈希处理会带来任何安全优势吗?我的意思是这个方案:


1.用户输入电子邮件地址 2.计算哈希(
电子邮件)地址
3.用户输入密码 计算哈希(密码)。
4.匹配值以指示登录成功或失败。

这是否会使破解的哈希与相应的用户匹配变得有点困难。

我不知道这是否已经被使用过,或者这个想法是否由于某种我没有想到的原因是不切实际的。我在搜索中没有找到任何东西,所以我在这里问。

0 投票
2 回答
104 浏览

security - 向用户描述我对 bcrypt 的使用是否不安全?

密码安全是许多人关心的问题。

我想包含一个“了解我们的密码安全性”链接,说明我们使用 bcrypt 进行密码散列以及它是如何工作的。

公开此信息是否会导致任何安全问题或降低我的系统安全性?

0 投票
2 回答
532 浏览

security - 存储电子邮件帐户的密码

我正在为 IMAP 帐户开发一个 PHP 电子邮件客户端。存储帐户密码以便之后能够检索它以检查电子邮件的最安全方法是哪种?

我想我应该以某种方式对其进行加密。但是,我如何确保只有我的应用程序才能解密它?