我正在学习盐和哈希密码。我有一个与SQL数据库集成的节点应用程序。我正在使用bcrypt节点中间件创建散列和盐渍密码以存储在我的数据库中。我已经阅读了除了安全威胁之外它不一定要使密码过期的方法......但是密码的哈希怎么办?
在我看来,每周左右随机更新每个用户的哈希密码会不会更安全?密码将保持不变,但服务器将生成并存储新的哈希。
如果有人试图攻击我的网站或数据库,哈希会随机更改帮助安全吗?
答案 0 :(得分:1)
不,它根本没用。无论哈希是否发生变化都无关紧要 - 密码仍然相同,因此攻击者仍然可以对他发现的数据库启动密码搜索攻击,无论它是否是当前密码。
感谢您使用bcrypt并了解password expiry policies are virtually useless的方式。为了您的信息,NIST提供new guidance密码安全性,好消息是许多令人烦恼的旧事物,如密码过期和需要特殊字符的组合被丢弃。感谢良好的逻辑开始战胜过去十年来被迫过多人的垃圾密码政策建议。
答案 1 :(得分:0)
它没有用,因为底层算法保持不变。在黑客收到散列密码列表的情况下,她可以使用已知算法强制散列哈希,并以明文形式对单词列表进行猜测。当算法和猜测的盐等于纯文本时,无论产生的散列如何,密码都会被破解。