问题标签 [password-protection]

我对散列密码和盐值有一个想法。由于我对散列和加密比较陌生，所以我想我会把这个发布给你。为每个用户帐户生成唯一的盐，然后将盐和散列值存储在数据库中会更安全吗？或者，每次我对密码进行哈希处理时，安全地存储一个盐值并重新使用它？

例如，用户将使用密码：

我的代码将生成一个盐值：

然后哈希结果得到：

创建帐户时，哈希结果和盐将存储在用户配置文件中的数据库中。然后，每次用户登录时，都会生成一个新的 salt，密码和 salt 会重新散列并存储在数据库中。

有什么想法吗？就像我说的，这是对我的想法的健全性检查。

我正在开发适用于 android 的 Password Safe 版本。Password Safe 使用密码短语来加密您的密码，但在智能手机上输入长密码短语可能会很乏味，尤其是在它们被屏蔽的情况下。我想研究使用密码短语的替代方法，例如简单图像的数组。

这种密码方法有什么好的例子吗？什么样的图像最好？ 齐纳卡似乎是一个不错的选择，但似乎不适合助记设备，当然不是为了获得强密码所需的值的数量。

编辑：一些戒律可能会有所帮助。密码安全的一点是，包含密码的文件是用一个永远不会存储的强密钥加密的。在 PC 上，此强密钥是您想要解锁保险箱时输入的短语或单词的加密哈希。保险箱会自动“忘记”您给它的密码，并在 X 分钟后删除所有未加密的数据版本，这样您就不会受到攻击。

理想情况下，我希望看到一种密码保险箱版本，它可以使用两个同等强度的密钥之一进行解密，其中一个密钥适合字母数字键盘，而另一个是问题的答案。

到目前为止，我想出的最好的想法是允许用户输入一个可以创建rebus 的短语，并使用基于图像的rebus 条目作为结果输入法。

一旦我生成了盐并对密码进行哈希处理（使用 bcrypt 等），最好将结果作为字符串或字节数组存储在数据库中？这两种方式有什么好处吗？还是更主观的决定？

是否可以在没有数据库访问权限的情况下对页面进行密码保护？我可能只有几页。但是我应该能够更改密码并保存会话等。而且我想要一种安全的方式，因为它适用于生产站点！

如何在 md5 之后存储在 config.php 中：

如果这是一个好主意，有没有办法限制只从一个名为 check.php 的脚本或其他东西访问这个 php？

我在正在运行的服务器上有一个受密码保护的目录。我想从这个目录（使用 URL）下载一些文件到我的 iPad 应用程序的 Documents 目录。如何发送我尝试访问的目录的密码？

我有一个网站，用户可以通过电子邮件向他们发送确认码来重置此帐户，但是，经过讨论后，这似乎是一个巨大的安全漏洞。我想制作一个我可以使用的小应用程序，并向我的老板展示该网站有多不安全。

基本上，代码的长度是 12 个字符，最后 4 个是固定的，它只使用十六进制字符 0-9 和 af

所以我的理论是，黑客是否知道用户名，他可以暴力破解确认码，使用户密码一文不值。

任何人都知道开始制作这样的程序的好地方吗？

我知道这是一个带有代码的编程问题，但我觉得发布它是有效的。如果没有，请引导我到 .net 编程论坛，在那里我可以回答我的问题。

任何人都可以帮助我保护选择组或组件。

举些例子

类似于此工作脚本的内容：P

我有两个域：asdf.com 和 asdf.ru（.ru 是一个停放的域）。它们指向服务器上的同一个文件夹。（一切都一样，唯一的区别是语言）。我不能使用子目录。是否可以使用密码保护.ru域，但不保护.com域？

谢谢你。

我正在尝试将此函数转换为 PHP，但不知何故它并没有给出相同的结果。

这是我对 PHP 的看法

当然它不起作用。那么我在这里做错了什么？

这些是用于测试的值：

编辑：基于 Martyx 和 Slacks 建议的工作解决方案

我想在 Amazon S3 上托管我的照片库。有些是公开的，有些是受密码保护的。实现这一目标的最佳方法是什么？据我所知，S3 不支持 .htaccess 文件。

谢谢， 伊斯特万