Encryption 冷饮腌制我的土豆条
在ColdFusion中,将用户登录密码与数据库进行比较以加密客户端和服务器之间的密码,最好的做法是什么 我注意到有一个javascript版本Encryption 冷饮腌制我的土豆条,encryption,hash,coldfusion,passwords,Encryption,Hash,Coldfusion,Passwords,在ColdFusion中,将用户登录密码与数据库进行比较以加密客户端和服务器之间的密码,最好的做法是什么 我注意到有一个javascript版本 但是,如果没有启用javascript,可以为用户做些什么呢?这些要点并不特定于coldfusion,但我觉得我必须说明: 在服务器端执行哈希操作 散列的目的是让服务器很难确定发送什么来生成与数据库匹配的字符串。如果您只是将客户机提供的字符串与DB条目匹配,那么您就失去了目的 不要使用MD5 它坏了。有办法打败它。不要用它 如果您担心密码在通
但是,如果没有启用javascript,可以为用户做些什么呢?这些要点并不特定于coldfusion,但我觉得我必须说明:
- 在服务器端执行哈希操作李>
- 不要使用MD5李>
- 如果您担心密码在通往服务器的途中被泄露,请使用TLS
- 使用像SHA-256这样的安全散列
- 使用随机盐,每个用户都有一个
- 多次散列。上千次
- 加密散列是单向的。你不能解密它。如果你找到一种实用的解密方法,你就会变得富有和出名
- 标准HTTP不安全。任何人都可以窃听和截获以明文或哈希形式发布的密码。如果您的服务器不要求敏感数据的加密连接,则您要求的是重播攻击(http://en.wikipedia.org/wiki/Replay_attack)
- 您可以创建自己的SSL证书。如果你担心你的用户看到“这个SSL证书是自签名的!哦,不是!”并且被吓跑了,要么不做,承担风险,要么拿出现金李>