我是这样看的,如果一家公司可以妥善保护他们的哈希并且他们可以防止对他们的身份验证系统的暴力攻击,那么为什么密码需要真正拥有任何力量呢?
如果有人不能得到哈希并且他们不能蛮力,那么密码是相对安全的,不是吗?
当然,简单的答案是“是的,但哈希并不总是保持安全”。但从业务的角度来看待它。如果他们要求用户保留一个强密码,他们基本上承认他们不能同时保护哈希并防止暴力攻击。所以这是一家公司为了自己的失败而将责任推给他们的用户,不是吗?
答案 0 :(得分:1)
假设您的密码为"a",密码错误(a)。
即使没有哈希,它也会让我感到......好吧,几乎没有任何时间用蛮力的方法破解它。
哈希可以使它变得更容易,但缺少哈希并不一定使它变得不可能。
(a):这就是为什么我总是使用密码"b" - 它需要两倍的时间才能破解: - )
答案 1 :(得分:1)
密码哈希和盐在存储到数据库时使密码安全,它们不能防止前端破解。
一个暴力破解者将再次运行一个网站,尝试从-999等所有内容...... abc的简单密码将立即被破解,无论哈希和盐的安全性如何。