RSSTAGPodcast
关于我们/aboutus广告合作/ad帮助我们/contribute

 找回密码
 骑士注册

QQ登录

微博登录
❏ 站外平台:

Linux 中国◆开源社区 首页 查看评论

验证用户密码这件事

评论 (8)|发表评论

dux123 [Chrome Mobile 39.0|Android 5.1] 2017-01-02 22:58 1 回复
小白路过。
[1]
BIAOXYZ [Maxthon 4.4|Windows 7] 发表于 2015-11-19 21:00 的评论:
最后三种策略一时没看懂。。。直觉上认为随机的盐难道比固定的盐安全性更差?
[2]
来自北京的 Chrome 46.0|Windows 10 用户 发表于 2015-11-20 21:33 的评论:
固定盐应该是写死在js代码里,或许还经过混淆,这样监听者如果不分析源代码是不能取到盐的。如果是服务器端生成随机盐,那么会有一个传输的问题,如果信道被监听,那么跟没加盐一样了。
BIAOXYZ [Maxthon 4.4|Windows 7] 2015-11-25 21:47 2 回复
好的,明白了,谢谢回答~
[1]
BIAOXYZ [Maxthon 4.4|Windows 7] 发表于 2015-11-19 21:00 的评论:
最后三种策略一时没看懂。。。直觉上认为随机的盐难道比固定的盐安全性更差?
[2]
来自北京的 Chrome 46.0|Windows 10 用户 发表于 2015-11-20 21:33 的评论:
固定盐应该是写死在js代码里,或许还经过混淆,这样监听者如果不分析源代码是不能取到盐的。如果是服务器端生成随机盐,那么会有一个传输的问题,如果信道被监听,那么跟没加盐一样了。
来自北京的 Chrome 46.0|Windows 10 用户 2015-11-20 21:37 2 回复
另外,其实固定盐可以多加一些随机变量,比如说访问第一次访问服务器时产生的session id,用户的IP地址,代理的User-Agent,可以把这些都加到盐里边。毕竟盐的作用是对原密码进行混淆,减少碰撞的发生
[1]
BIAOXYZ [Maxthon 4.4|Windows 7] 发表于 2015-11-19 21:00 的评论:
最后三种策略一时没看懂。。。直觉上认为随机的盐难道比固定的盐安全性更差?
来自北京的 Chrome 46.0|Windows 10 用户 2015-11-20 21:33 2 回复
固定盐应该是写死在js代码里,或许还经过混淆,这样监听者如果不分析源代码是不能取到盐的。如果是服务器端生成随机盐,那么会有一个传输的问题,如果信道被监听,那么跟没加盐一样了。
BIAOXYZ [Maxthon 4.4|Windows 7] 2015-11-19 21:00 3 回复
最后三种策略一时没看懂。。。直觉上认为随机的盐难道比固定的盐安全性更差?
来自北京的 Chrome Mobile 33.0|Android 4.4 用户 2015-11-19 19:28 14 回复
赞!
绿色圣光 [Firefox 42.0|Windows 7] 2015-11-19 19:08 3 回复
安全问题,真的好难搞。
POCMON [Firefox 42.0|Ubuntu] 2015-11-19 18:35 4 回复
好高大上~

返回顶部

分享到微信

打开微信,点击顶部的“╋”,
使用“扫一扫”将网页分享至微信。