问题标签 [password-storage]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - 存储 bcrypt 哈希
根据 PHP 的文档,bcrypt salt 是由
“$2a$”,两位数的成本参数,“$”,以及来自字母表“./0-9A-Za-z”的 22 位数字
因此,如果我使用 crypt() 函数对我的密码进行哈希处理,则结果输出包括前 7 个字符($2a$10$,如果 10 是成本参数)作为盐的一部分 - 而且,根据所有示例,我能够在互联网上找到,这个完整的输出被写入db。
我想知道将这些第一个字符与其余的盐和加密数据一起存储有什么意义。它们的含义对我来说是完全清楚的,但我真的不明白为什么这些信息应该与哈希的其余部分一起写。它们不是关于算法和计算的自适应成本的“只是”信息吗?那么存储此类与应用程序相关的信息有什么好处呢?而且(即使听起来很幼稚)为什么要将它们披露给最终可以获取我的数据库的攻击者?
security - 一次性盐和服务器密码比较
我读过,验证用户身份的一种更安全的方法是在对密码进行哈希处理时使用一次性盐。我不明白的是:
如果客户端每次会话都生成一个新的盐,那么每次会话生成的盐+密码哈希不会不同吗?如果是这样,服务器如何将发送的密码与其存储的密码进行比较?服务器有没有办法比较不同的哈希值并且仍然能够辨别使用了相同的密码?
(免责声明:我不是想重新发明轮子/编写登录协议(我知道,我知道:使用 SSL/TLS)。我只是对登录协议的高级功能感到好奇)
database - 银行是否将密码存储为纯文本?
我见过一些网站,尤其是银行网站,要求你输入这个(例如)。有时他们会通过电话要求我证明我的身份。
- 密码的第二个字符
- 密码的第 5 个字符
- 密码的第 6 个字符
要做到这一点,散列算法将不起作用,不是吗?像银行一样安全的东西肯定有办法存储不可解密的密码吗?
android - 在 Android 中创建和存储密码
我正在开发一个允许在用户输入密码时访问其内容的 android 应用程序。我不想包含数据库,我只想让应用程序能够为用户创建一个新密码,并且用户也可以将旧密码更改为新密码。
我创建了两个类和一个 xml。但我现在想要的是让 EdittextPreference 弹出 3 个 edittext 而不是通常的 1,以便用户能够更改旧密码。到目前为止看到代码
打包 my.preferences;
导入android.os.Bundle;导入android.preference.PreferenceActivity;
公共类 SetPrefs 扩展 PreferenceActivity{
}
wordpress - 在 wordpress 中,我想通过邮件向用户发送他的密码?
我有一个工作流程,其中用户在获得系统批准时。获取他的登录凭据作为用户名和密码。我想在用户通过邮件批准他的用户名和密码后发送给他。我不确定如何从数据库中检索用户密码 wordpress 中是否已经存在功能?
java - jBCrypt 替代方案?官方线程安全,拥有更大的社区
要散列密码(单向),看起来bcrypt 是最好的。
我即将开始使用jBCrypt,但我有一些担心:
- 没有邮寄名单。
- 整体活动非常少。
- 错误跟踪器只出现过 1 个问题,并且这 1 个问题没有收到任何活动迹象。
- 仅发布了 3 个版本。
- jBCrypt 并不声称是线程安全的。虽然大多数人似乎都同意源代码看起来是线程安全的,但在官方网站上明确声明会好得多。
是否有每个人都在使用的类似的、更主流的库,但我以某种方式错过了?(Java,开源)
还是它实际上是“最主流”的?
windows-phone-7 - 在 WP7 应用程序中存储用户名和密码是否有标准?
我想问是否有标准可以在 Windows Phone 应用程序中存储用户名和密码。我正在开发一个项目,该项目在每个调用的请求上验证用户。所以,我想存储用户名和密码。也许甚至给他们“记住我”的可能性,所以如果没有这样做的标准,我将不得不自己编写它,但我猜微软有一个内置的。
passwords - 有没有一种安全的方法可以通过电子邮件以明文形式向用户发送密码?
如果我理解正确,通过电子邮件发送密码的最大问题是它要求密码以明文形式存储在数据库中。如果数据库遭到破坏,攻击者将获得对所有帐户的访问权限。
有解决此问题的方法吗?
如何尽可能安全地通过电子邮件向用户发送密码?
c# - 使用 Windows .NET 或 ASP.NET 应用程序时存储数据库密码的位置
我有一个困扰我多年的场景。如果您必须使用用户名和密码连接到数据库或其他服务(如 Web 服务),如果您通过 .NET 程序集进行连接,那么在哪里存储这些信息最安全?我知道您必须对密码进行加密,但是您会遇到一种先有鸡还是先有蛋的问题——很好——您可以对其进行加密,但是您将密钥放在哪里?
在 .NET 中,您不能对密码进行硬编码,因为您可以反编译 .NET 代码。
我研究了在隔离存储中使用基于程序集的权限,但 MS 建议不要在其中存储未加密的秘密项目,因为特权用户可以获得访问权限,所以我们再次将问题从 A 点转移到 B 点。例如,域管理员由于能够成为域上任何工作站的管理员,因此无需了解数据库中的信息就可以访问。
您可以加密应用程序。Config 和 Web.Config,但我相信特权用户可以访问密钥。
我认为您在使用 DPAPI 时遇到了同样的问题。
我曾考虑将密码存储在远程数据库中,并通过操作系统身份验证获取它们,但我们部门禁止将密码存储在数据库服务器上。我很确定我被卡住了,想要确认。
security - Sql Server 中的 zencart 密码是如何加密的?
我已经在我的网络服务器上设置了一个 zencart,并且管理功能的密码在与 zencart 关联的 sql 数据库中被加密(或以某种方式混淆) - 谁能告诉我这种加密的程度?我想知道设法获得数据库的人是否能够访问数据库密码部分中的数据,或者我是否会受到保护,以防止数据的特定部分通过其加密公开。
如果它是加密的,它是如何加密的,解密的难易程度如何?
这是一个默认的禅宗购物车设置。
亲切的问候