我有一个先加密后再用sha512加密的密码。如果用户可以看到盐腌/加密的哈希字符串(例如,在URL参数中),是否存在安全方面的担忧?
答案 0 :(得分:1)
恕我直言,提供哈希密码(甚至是加盐的密码)与良好的安全做法存在明显冲突,尤其是在URL中使用哈希的情况下。
请记住,浏览器缓存会保存所有访问的URL,因此攻击者可以使用浏览器缓存来提取密码哈希,然后开始破解它,例如,通过使用常见的密码列表之一。
因此,我永远不会使用简单的加盐和哈希密码作为URL中的参数。
我将接受密码哈希的唯一方法是,如果使用的哈希是HMAC(例如HMAC SHA-512),并且具有永远不会离开服务器的用户特定随机密钥。在这种情况下,密码散列通常对攻击者无用。