Hash 将重新添加用户';用户每次登录时的密码哈希和覆盖原始密码是否有用?

Hash 将重新添加用户';用户每次登录时的密码哈希和覆盖原始密码是否有用?,hash,login,passwords,system,Hash,Login,Passwords,System,用户输入密码并提交登录表单。将密码发送到服务器,运行身份验证,哈希密码与存储在数据库中的密码匹配 这就是我想知道的。我想知道的是,这个场景是否有用: 然后用新的随机salt重新散列用户密码,并覆盖存储在数据库中的原始散列。下次用户登录时,他们仍然输入完全相同的密码,但会检查不同的哈希 请让我知道这是否是一种更安全的密码哈希方法 编辑 我把这个问题写得很糟糕。。。。我一直在研究使非SSL登录脚本更安全的方法,并想到在通过post数据发送密码之前使用javascript对密码进行哈希处理。这给我的

用户输入密码并提交登录表单。将密码发送到服务器,运行身份验证,哈希密码与存储在数据库中的密码匹配

这就是我想知道的。我想知道的是,这个场景是否有用:

然后用新的随机salt重新散列用户密码,并覆盖存储在数据库中的原始散列。下次用户登录时,他们仍然输入完全相同的密码,但会检查不同的哈希

请让我知道这是否是一种更安全的密码哈希方法

编辑

我把这个问题写得很糟糕。。。。我一直在研究使非SSL登录脚本更安全的方法,并想到在通过post数据发送密码之前使用javascript对密码进行哈希处理。这给我的印象是一个半体面的想法,除非黑客截获散列的帖子数据是毫无意义的,因为从那时起,他可以使用散列发送虚假的帖子数据。我开始考虑每次都用新的salt对pass进行重新哈希,这样黑客每次想要访问该用户的帐户时都必须不断地重新嗅探连接


这样,如果受害者的计算机上没有键盘记录器或某种客户端软件,黑客将无法访问客户端密码,因此,一旦用户登录,一次只能访问一个会话,当用户再次登录以获取新的哈希值时,哈希值将改变黑客必须侦听的内容。

我不确定这是否会使其更安全。如果黑客试图暴力强迫用户登录,那么MD5/SHA1或数据库中存储的任何内容都无关紧要。重要的是每次身份验证尝试需要多长时间,以及您的密码是否被加密。您仍然需要将新的“随机”盐存储在数据库中,或者让它从数据库中的字段派生出一些how。确保使用并且每次登录尝试花费1秒或2秒就足够了。并防止黑客访问机器或获取加密密码转储,显然(通过SQL注入、利用服务器中的漏洞等)。

我不确定这是否会使它更安全。如果黑客试图暴力强迫用户登录,那么MD5/SHA1或数据库中存储的任何内容都无关紧要。重要的是每次身份验证尝试需要多长时间,以及您的密码是否被加密。您仍然需要将新的“随机”盐存储在数据库中,或者让它从数据库中的字段派生出一些how。确保使用并且每次登录尝试花费1秒或2秒就足够了。并防止黑客访问机器或获取加密密码转储,显然(通过SQL注入、利用服务器中的漏洞等)。

我在这里看到的唯一区别是数据库中的salted hash会定期更改

因此,每一个设法读取数据库的攻击者都会有另一组哈希来进行暴力攻击。但是,当其中一个散列被破坏时(例如,您发现一个密码与salt一起给出给定的散列),它很可能是原始密码,即使数据库中的salt和散列稍后发生更改,它也将继续工作


因此,这里的安全性没有变化。

我在这里看到的唯一区别是,数据库中的盐渍哈希值会定期变化

因此,每一个设法读取数据库的攻击者都会有另一组哈希来进行暴力攻击。但是,当其中一个散列被破坏时(例如,您发现一个密码与salt一起给出给定的散列),它很可能是原始密码,即使数据库中的salt和散列稍后发生更改,它也将继续工作


所以,这里的安全性没有变化。

为什么你认为这样会更安全?我写的这个问题很糟糕。。。。我一直在研究使非SSL登录脚本更安全的方法,并想到在通过post数据发送密码之前使用javascript对密码进行哈希处理。这给我的印象是一个半体面的想法,除非黑客截获散列的帖子数据是毫无意义的,因为从那时起,他可以使用散列发送虚假的帖子数据。我开始考虑每次都用新的salt对pass进行重新哈希,这样黑客每次想要访问该用户的帐户时都必须不断地重新嗅探连接。你为什么认为这样会更安全?我写的这个问题非常糟糕。。。。我一直在研究使非SSL登录脚本更安全的方法,并想到在通过post数据发送密码之前使用javascript对密码进行哈希处理。这给我的印象是一个半体面的想法,除非黑客截获散列的帖子数据是毫无意义的,因为从那时起,他可以使用散列发送虚假的帖子数据。我开始考虑每次都用新的salt对pass进行重新哈希,这样黑客每次想要访问该用户的帐户时都必须不断地重新嗅探连接。我对问题进行了编辑,更清楚地描述了我要做的事情。很抱歉第一次没有写出来,我写的时候很累。如果你不能使用HTTPS,你可能会发现摘要访问身份验证很有用。我对问题进行了编辑,更清楚地描述了我要做的事情。很抱歉第一次没有写出来,我写的时候很累。如果你不能使用HTTPS,你可能会发现摘要访问身份验证很有用。