Hash 在数据库中存储密码的最佳实践?
我正在为我的单页应用程序创建新的登录系统。此系统将要求管理员为用户创建帐户。一旦他们为用户设置了帐户,我会给他们发送一封电子邮件,他们必须在那里输入他们的信息,如安全问题和密码。因此,我做了一些研究,并检查了我们现有的系统。有一个与salt一起使用的Hash 在数据库中存储密码的最佳实践?,hash,coldfusion,passwords,salt,coldfusion-2016,Hash,Coldfusion,Passwords,Salt,Coldfusion 2016,我正在为我的单页应用程序创建新的登录系统。此系统将要求管理员为用户创建帐户。一旦他们为用户设置了帐户,我会给他们发送一封电子邮件,他们必须在那里输入他们的信息,如安全问题和密码。因此,我做了一些研究,并检查了我们现有的系统。有一个与salt一起使用的hash函数。我读了几篇文章,关于散列易受攻击的问题有很多争论。我还看到,在这种情况下,散列密码和salt一样被存储。它们在不同的列中。将盐储存在DB中是否是良好的做法?还有没有更好的方法在数据库中存储密码?下面是我发现的逻辑示例: <cfse
hash<cfset password = trim(FORM.password)>
<cfset salt = randomSalt()> //This is function that generates random salt.
<cfset totPW = password & salt>
<cfset hashedPW = hash(totPW,"SHA-256")>
//这是生成随机盐的函数。
我目前正在使用Cold Fusion 2016。我不确定是否有更好的方法在CF中加密密码。如果有人能提供一些有用的资源或示例,请让我知道。谢谢 总的来说,散列现在仍然很好。这里重要的是使用什么散列算法(以及迭代次数)。在数据库泄漏的情况下,您希望尽可能难以匹配输入(commmon密码/基于字典的攻击)。salt确实有一点帮助,不规则的salt模式或基于用户名等的隐藏迭代次数也会有所帮助。只要攻击者不知道您的哈希是如何实现的,使用不同的哈希策略就会有所帮助。(访问数据库服务器是一回事,访问源代码是另一回事。)这是关于引起攻击者的努力 关于散列算法:SHA-2比bcrypt更容易攻击,因为它是GPU的目标。哈希上的迭代次数将使攻击者为每个密码花费更多的时间。
hash()另一方面:不要删减密码输入,人们可能打算使用前导/尾随空格。一般来说,散列现在仍然可以。这里重要的是使用什么散列算法(以及迭代次数)。在数据库泄漏的情况下,您希望尽可能难以匹配输入(commmon密码/基于字典的攻击)。salt确实有一点帮助,不规则的salt模式或基于用户名等的隐藏迭代次数也会有所帮助。只要攻击者不知道您的哈希是如何实现的,使用不同的哈希策略就会有所帮助。(访问数据库服务器是一回事,访问源代码是另一回事。)这是关于引起攻击者的努力 关于散列算法:SHA-2比bcrypt更容易攻击,因为它是GPU的目标。哈希上的迭代次数将使攻击者为每个密码花费更多的时间。
hash()另请注意:不要修剪密码输入,人们可能会使用前导/尾随空格。请参阅保存密码验证器时,仅使用哈希函数是不够的,仅添加salt对提高安全性几乎没有作用。相反,使用随机盐在HMAC上迭代大约100ms,并使用散列保存盐。最好使用函数,如
PBKDF2Rfc2898DeriveBytesArgon2password\u hashBcryptPBKDF2Rfc2898DeriveBytesArgon2password\u hashBcrypt