我已经阅读了一些关于密码腌制的问题,其中大部分都涵盖了(我认为)我已经理解的内容。那是;在密码哈希中包含随机盐的关键是首先要防止两个哈希值相同,即使密码相同也是如此。其次是为了阻止与预编译列表匹配哈希的彩虹表攻击(因为没有预编译的哈希值使用了您使用的盐,因此需要为每个盐/哈希生成新的彩虹表)。如果我误解了其中任何一个,请随意纠正我。
现在我的问题是:如果攻击者可以访问您的哈希值(我们正在防范的场景),那么这意味着他们正在访问您的数据库。在这种情况下,哈希是什么并不重要,他们可以用他们想要的东西替换它?
答案 0 :(得分:1)
对数据库的读访问权并不意味着对数据库的写访问权。
所以是的,如果攻击者可以将密码哈希更新为已知的哈希密码+ salt,则攻击者可以访问特定帐户。但密码哈希的转储可能来自直接数据库访问以外的其他地方。
答案 1 :(得分:1)
这一切都取决于帐户的许可。如果一个只读帐户被黑客入侵,他们只能阅读,但如果一个更高的帐户被黑客入侵,那么攻击者拥有更高的权限,它越往上升。