我对哈希了解不多,但是我注意到一个(相对著名的)网站通过发送url参数“ hash = longStringIAssumeisTheHashOfMyPassword”将我登录到我的帐户中。
散列密码的目的是,如果攻击者获得了所有散列密码的列表,他们仍然将无法进入帐户。如果他们在设备上对我的密码进行哈希处理,黑客是否无法绕过哈希处理?
如果我获得了哈希密码列表,是否不能只访问site.com/login?hash=stolen哈希并登录?
它也在发送我的ip作为参数,我对此并不担心,但是看起来任何人都可以在其中输入他们想要的IP。
我完全错了吗,还是我应该举报?
edit:每次登录时,哈希值都会改变,但是我可以多次使用旧哈希登录。