Hash 将重新添加用户'；用户每次登录时的密码哈希和覆盖原始密码是否有用？

用户输入密码并提交登录表单。将密码发送到服务器，运行身份验证，哈希密码与存储在数据库中的密码匹配

这就是我想知道的。我想知道的是，这个场景是否有用：

然后用新的随机salt重新散列用户密码，并覆盖存储在数据库中的原始散列。下次用户登录时，他们仍然输入完全相同的密码，但会检查不同的哈希

请让我知道这是否是一种更安全的密码哈希方法

编辑

---

---

我把这个问题写得很糟糕。。。。我一直在研究使非SSL登录脚本更安全的方法，并想到在通过post数据发送密码之前使用javascript对密码进行哈希处理。这给我的印象是一个半体面的想法，除非黑客截获散列的帖子数据是毫无意义的，因为从那时起，他可以使用散列发送虚假的帖子数据。我开始考虑每次都用新的salt对pass进行重新哈希，这样黑客每次想要访问该用户的帐户时都必须不断地重新嗅探连接

---

这样，如果受害者的计算机上没有键盘记录器或某种客户端软件，黑客将无法访问客户端密码，因此，一旦用户登录，一次只能访问一个会话，当用户再次登录以获取新的哈希值时，哈希值将改变黑客必须侦听的内容。

我不确定这是否会使其更安全。如果黑客试图暴力强迫用户登录，那么MD5/SHA1或数据库中存储的任何内容都无关紧要。重要的是每次身份验证尝试需要多长时间，以及您的密码是否被加密。您仍然需要将新的“随机”盐存储在数据库中，或者让它从数据库中的字段派生出一些how。确保使用并且每次登录尝试花费1秒或2秒就足够了。并防止黑客访问机器或获取加密密码转储，显然（通过SQL注入、利用服务器中的漏洞等）。

我不确定这是否会使它更安全。如果黑客试图暴力强迫用户登录，那么MD5/SHA1或数据库中存储的任何内容都无关紧要。重要的是每次身份验证尝试需要多长时间，以及您的密码是否被加密。您仍然需要将新的“随机”盐存储在数据库中，或者让它从数据库中的字段派生出一些how。确保使用并且每次登录尝试花费1秒或2秒就足够了。并防止黑客访问机器或获取加密密码转储，显然（通过SQL注入、利用服务器中的漏洞等）。

我在这里看到的唯一区别是数据库中的salted hash会定期更改

因此，每一个设法读取数据库的攻击者都会有另一组哈希来进行暴力攻击。但是，当其中一个散列被破坏时（例如，您发现一个密码与salt一起给出给定的散列），它很可能是原始密码，即使数据库中的salt和散列稍后发生更改，它也将继续工作

---

因此，这里的安全性没有变化。

我在这里看到的唯一区别是，数据库中的盐渍哈希值会定期变化

因此，每一个设法读取数据库的攻击者都会有另一组哈希来进行暴力攻击。但是，当其中一个散列被破坏时（例如，您发现一个密码与salt一起给出给定的散列），它很可能是原始密码，即使数据库中的salt和散列稍后发生更改，它也将继续工作

---

所以，这里的安全性没有变化。

为什么你认为这样会更安全？我写的这个问题很糟糕。。。。我一直在研究使非SSL登录脚本更安全的方法，并想到在通过post数据发送密码之前使用javascript对密码进行哈希处理。这给我的印象是一个半体面的想法，除非黑客截获散列的帖子数据是毫无意义的，因为从那时起，他可以使用散列发送虚假的帖子数据。我开始考虑每次都用新的salt对pass进行重新哈希，这样黑客每次想要访问该用户的帐户时都必须不断地重新嗅探连接。你为什么认为这样会更安全？我写的这个问题非常糟糕。。。。我一直在研究使非SSL登录脚本更安全的方法，并想到在通过post数据发送密码之前使用javascript对密码进行哈希处理。这给我的印象是一个半体面的想法，除非黑客截获散列的帖子数据是毫无意义的，因为从那时起，他可以使用散列发送虚假的帖子数据。我开始考虑每次都用新的salt对pass进行重新哈希，这样黑客每次想要访问该用户的帐户时都必须不断地重新嗅探连接。我对问题进行了编辑，更清楚地描述了我要做的事情。很抱歉第一次没有写出来，我写的时候很累。如果你不能使用HTTPS，你可能会发现摘要访问身份验证很有用。我对问题进行了编辑，更清楚地描述了我要做的事情。很抱歉第一次没有写出来，我写的时候很累。如果你不能使用HTTPS，你可能会发现摘要访问身份验证很有用。