我正在更新网站的登录过程。
目前,密码存储为md5(密码),我想添加盐, 但是,使用无保留密码来识别可能存在的欺诈行为 通常对新帐户使用相同的密码。
20%的流量来自移动设备,不一定具有相同的IP。
知道如何识别这些可能的欺诈行为吗?
答案 0 :(得分:0)
您仍然可以添加一个盐,但是当您仍然拥有明文密码时,您必须与现有密码进行比较,即您必须遍历密码表以查找重复项(通过散列其他帐户的盐)在创建帐户时而不是之后使用新密码。
答案 1 :(得分:0)
我想说,腌制密码绝对是一个主要的好处,而不是为了防止欺诈目的而保持不变。但是,请使用a cryptographically secure slow hashing algorithm, such as bcrypt, scrypt or pbkdf2 - 不要加盐MD5。
但是你可以拿出你的蛋糕并吃掉它,为什么不让另一张表包含以前用于欺诈企图的密码?这些将被散列,但不会被腌制,也不会存储任何帐户关联。
如果使用其中一个密码的用户证明是非欺诈性的,您可以在调查后向他们发送通知,将密码更改为其他密码。
以下是我认为在确定某个帐户被用于欺诈后,将新密码添加到欺诈性密码列表中的方法。
由于欺诈性密码列表 可以降低正常用户帐户的安全性,因为它们存储在此处无保留,您应该让“好”用户在登录时更改其密码欺诈密码列表。