O.P.
7 plus 应用程序通知刚刚弹出,并将我的密码显示为用户名。
密码是否应该加密,或者任何 IT 人员都可以在他们的末端看到它?
评论
O.P.
我也无法更改我的密码 atm....
评论
可能输入了您的密码作为用户名关于注册?
评论
jnu123 写道...
密码应该加密还是任何 IT 人员都可以看到
好的做法是使用密码的哈希值而不是存储密码本身,以防止任何人(包括 IT 人员)看到密码,但考虑到他们将密码发送到向服务器发送明文,可以肯定的是他们的密码管理实践很糟糕。
评论
astroboy78 写道...
可能在注册时输入了密码作为用户名?
可能是这样。
评论
O.P.
YetAnotherAcc 写道...
良好的实践决定是使用密码的哈希值而不是存储密码本身来防止任何人(包括 IT 人员)看到密码,但是 giveces。
那么 whirlpool it 人员可以看到我们的密码吗?
评论
此帖子已编辑
jnu123 写道...
那么 whirlpool it 家伙能看到我们的密码吗?
密码以纯文本形式发送,就像 7 plus 应用程序一样,因此肯定有可能以某种形式访问/拦截它。
编辑:
我刚刚有一个查看更多网站,包括 reddit、gmail 和 hotmail,他们也以明文形式发送密码,这令人惊讶。我原以为这些天发送哈希而不是实际密码会更普遍,但显然不是。
评论
YetAnotherAcc 写道...
他们还以明文形式发送密码
他们这样做是因为这通常是最好的做法。如果您发送散列密码而不是纯文本密码,服务器会将提供的散列与数据库中存储的散列进行比较。这与将提供的纯文本密码与存储在数据库中的纯文本密码进行比较没有什么不同。
如果服务器的用户凭据被攻击者泄露,他们可以通过提供用户名和哈希来访问任何帐户到服务器。如果服务器收到纯文本密码然后对其进行哈希处理,则这是不可能的,因为攻击者不知道用于生成哈希的密码。
评论
Allethrin 写道...
这与将提供的纯文本密码与存储在数据库中的纯文本密码进行比较没有什么不同。
但这不是重点散列。散列(+ 加盐)的目的是使原始密码在违规或未经授权的访问情况下更难发现/恢复。
如果服务器的用户凭据被攻击者泄露,他们可以访问任何帐户通过向服务器提供用户名和散列。如果服务器收到纯文本密码然后对其进行哈希处理,这将是不可能的,因为攻击者不知道用于生成哈希的密码。
并且您可以减轻对客户端哈希,这样您就可以两全其美。
评论
O.P.
Allethrin 写道...
他们这样做是因为这通常是最好的做法。如果您发送散列密码而不是纯文本密码,服务器会将提供的散列与数据库中存储的散列进行比较。这与将提供的纯文本密码与存储在数据库中的纯文本密码进行比较没有什么不同。
您听说过会话劫持吗?
如果发送散列密码而不是明文密码文本,黑客不会知道密码?
评论
O.P.
YetAnotherAcc writes...
密码以明文发送文本就像 7 plus 应用程序一样,因此肯定有可能以某种形式访问/拦截它。
如果 whirlpool IT 可以看到我的密码,那么他们可以使用密码登录我的电子邮件帐户?
评论
jnu123 写道...
如果 whirlpool IT 可以看到我的密码,那么他们可以使用密码登录我的电子邮件帐户?
只有当您在这里和您的电子邮件帐户使用相同的密码时。
评论
jnu123 写道。 ..
如果发送散列密码而不是明文,黑客将不知道密码?
不,他们不会,但想想在这种情况下“密码”是什么.如果你向服务器发送一个散列密码,它需要根据收到的散列密码来决定是否让你登录。它无法解散密码,因此需要:
1.比较哈希密码为存储在数据库中的值;或
2。散列提供的散列密码并与存储在数据库中的值进行比较
以上两者完全相同,如果您不在客户端散列密码。换句话说,您通过客户端散列没有得到任何好处——客户端散列密码已成为纯文本密码。
也许此链接会更好地解释它:https://security.stackexchange。 com/a/8600
评论
此帖子已编辑
aliali writes...
仅当您使用相同的密码时用于此处和您的电子邮件帐户。
客户端散列可以保护原始纯文本,这实际上只有在该密码在其他地方重复使用时才有用。无论如何,人们不应该重复使用密码,尤其是在重要帐户上。如果可以,请使用 2fa。
评论
jnu123 写道...
那么 whirlpool it 家伙能看到我们的密码吗?< /p>
Https:// 会做到这一点。 Http网站不会。 WP 论坛在 https(加密)上运行。
仅供参考:
-网站将获取您在注册时输入的密码,通过哈希算法运行它,然后存储该算法的输出。输出称为散列。它是一串固定大小的字符和数字。
-下次您尝试登录特定网站时,它将获取您输入的密码,通过使用的哈希算法运行它最初,并验证输出与他们存储在“数据库”中的哈希值相匹配
评论
ma bu writes...
Https:// 会这样做。 Http网站不会。 WP 论坛在 https(加密)上运行。
这些与 OP 的要求并不真正相关。如果他们以明文形式存储密码,那么可以看到它们,如果它以明文形式发送密码,那么也是可以看到的。如果您使用 http、https、ftp 等作为发送它的协议,这无关紧要。
网站将采用您在注册时输入的密码,通过哈希算法运行它,然后然后存储该算法的输出。输出称为散列。它是一串字符和固定大小的数字。
并非所有人都这样做,所使用的协议与是否使用它无关(您可以存储密码并通过以下方式以明文形式请求它们https – 它只是使用的连接协议。
主要区别在于 https 是加密通信 – 任何一端都可以根据需要安全或不安全地存储数据,连接本身对此完全不可知。这个想法是你不能/不应该能够窥探 https 通信中的内容(如果你能或不能大声笑,我们就不要进入)而 http 在这种情况下很容易被窥探。
< p>-下次您尝试登录特定网站时,它将获取您输入的密码,通过最初使用的散列算法运行它,并验证输出是否与他们存储在他们的网站中的散列值相匹配“数据库”可能是,也可能不是。并非每个网站都这样做。
请参阅上面 YetAnotherAcc 的评论 – reddit、gmail 和 hotmail 都使用 https,但以明文形式发送密码。
评论
Allethrin writes...
如果您不在客户端对密码进行哈希处理,以上两者完全相同。换句话说,你在客户端进行散列没有得到任何好处
它们与不在客户端进行散列是不一样的。从“授予对当前系统的访问权限”的角度来看,它们在功能上可能是相同的,但从“如果当前站点受到威胁时保护我的密码”的角度来看,它们可能是不同的。
Colin 写道...
客户端散列可以保护原始纯文本,这实际上只有在该密码在其他地方重复使用时才有用。
或者人们使用相似但不相同的密码的地方对于不同的站点,则可以使用已知的密码来尝试并找出可行的变体以在其他站点上试用。
评论
YetAnotherAcc 写道.. .
如果当前站点受到威胁,请保护我的密码
执行此操作不需要客户端散列。只需添加盐/胡椒粉的服务器端散列即可。
在坏人破坏了服务器并且可以看到所有身份验证尝试的情况下,客户端散列将无济于事。首先,任何人都不应在多个帐户中使用相同的密码。其次,如果您向服务器提供散列密码以进行身份验证,则散列密码现在已成为密码。攻击者不需要知道用于生成哈希的密码。他们只需要知道密码的客户端散列。
所以我猜我想说什么y 是服务器上可能被泄露的“密码”不是用于生成客户端哈希的密码。它是客户端哈希本身。从端到端的身份验证尝试考虑。
大公司在将密码发送到服务器之前不对密码进行哈希处理是有原因的——最好不要这样做。
这里有另一个链接来解释:https://security.stackexchange.com/a/110956
所以我再说一遍,在客户端散列密码几乎总是一个非常糟糕的主意。
评论
Allethrin 写道...
首先,任何人都不应该在多个帐户中使用相同的密码。
p>当然不是,但事实是很多人都这样做,仅此一点就足以保护它,加上我在上一篇文章中所说的“或者人们使用相似但不相同的密码不同的站点然后可以使用已知的密码来尝试找出可行的变体以在其他站点上尝试。”。
大玩家在将密码发送到服务器 – 最好不要这样做。
大玩家已经疯了他们犯了很多错误,例如 Facebook 多年来以纯文本形式存储了数亿个用户密码
这是另一个解释的链接:https://security.stackexchange.com/a/110956
p>除了讨论只对前端或后端进行哈希处理,而不是两者。
所以我再说一遍,在客户端对密码进行哈希处理几乎总是一个非常糟糕的主意。< /p>
仅当那是您散列的唯一位置时。
您可能想阅读以下内容:
Moving to client-side hashing for online身份验证。
摘要。凭据泄漏仍然经常发生,并且有证据表明,尽管有数十年的警告,但密码散列在实践中仍未正确实施。今天的常见做法是从以前但已过时的限制继承而来,以明文形式将密码传输到服务器,并在服务器上进行哈希处理和存储。我们调查了哈希客户端替代方案的优缺点,并表明它目前只出现在中文网站上。我们也在研究在不久的将来大规模实施它的方法。
澳洲中文论坛热点
- 悉尼部份城铁将封闭一年,华人区受影响!只能乘巴士(组图)
- 据《逐日电讯报》报导,从明年年中开始,因为从Bankstown和Sydenham的城铁将因Metro South West革新名目而
- 联邦政客们具有多少房产?
- 据本月早些时分报导,绿党副首领、参议员Mehreen Faruqi已获准在Port Macquarie联系其房产并建造三栋投资联
