我有一个网站,该网站使用默认的asp.net安全性来验证用户身份,并使用带有密码哈希和盐的表。是否可以将它们与Haveibeenpwned.com数据库中的哈希密码进行比较?
答案 0 :(得分:0)
不是真的。
您不能通过直接命中数据库来执行此操作,因为您需要具有纯文本字符串才能获取正确的哈希值来执行查找。
但是您可以采用不同的方法-通过使用the cracked corpora of the HIBP data from hashes.org破解现有的盐渍哈希来实现。不过,在大多数情况下,通常不建议这样做。
您还可以将其设置为在您已经拥有纯文本的情况下进行检查-每当用户注册,登录和/或更改其密码等时。前X个知名密码的一般黑名单通常是个好主意-但我不建议在没有大量有关如何创建良好密码的UX指导(使用Diceware样式随机生成)的情况下,将全部5.12亿个密码用作创建新密码的黑名单密码或存储在密码管理器中的随机生成的字符串等)