在我的网站注册中,出于安全原因,我在客户端散列密码,并在注册请求中将散列版本发送到服务器。但是在服务器端,出于安全原因,我想确保输入的密码长于特定长度 这是从SHA1获取字符串长度的方法吗?如果不是,那么您建议我处理上述两个安全问题的其他解决方案。 提前致谢
答案 0 :(得分:2)
现在有办法做到这一点。我真的想要哈希它客户端你应该在哈希之前做长度检查客户端。 Here就此提出了一些提示。
更好的方法是使用HTTPS进行注册。这样密码就会受到保护。
执行散列等问题可能会导致错误。例如,SHA-1已弃用。 PS。如果你哈希,请记得使用salt。
https的一个骗局当然是为中间攻击中可能的人打开了。如果它真的很高安全性,你可以做到这两点。这很可能是非常矫枉过正的。
答案 1 :(得分:1)
在客户端上散列密码,并将散列与服务器上存储的散列进行比较。 等同于存储纯文本密码。
攻击者无需知道实际密码,就像哈希已成为密码一样。