Security 它的纯文本长度'；s沙1_Security_Passwords_Sha1_Plaintext_String Length

Security 它的纯文本长度'；s沙1

security passwords

Security 它的纯文本长度'；s沙1,security,passwords,sha1,plaintext,string-length,Security,Passwords,Sha1,Plaintext,String Length,在我的网站注册中，出于安全原因，我在客户端对密码进行哈希，并在注册请求中将哈希后的版本发送到服务器。但在服务器端，同样出于安全原因，我希望确保输入的密码长于特定长度。这是一种从SHA1中获取字符串长度的方法吗？如果没有，您会为我的情况提出什么其他解决方案来处理上述两个安全问题。提前感谢现在有办法做到这一点。如果你真的想在客户端散列，你应该在散列之前在客户端进行长度检查。这里有一些提示不过，更好的方法是使用HTTPS进行注册。这样可以保护密码你们自己做散列之类的事情的问题是，这样做可能是错

在我的网站注册中，出于安全原因，我在客户端对密码进行哈希，并在注册请求中将哈希后的版本发送到服务器。但在服务器端，同样出于安全原因，我希望确保输入的密码长于特定长度。
这是一种从SHA1中获取字符串长度的方法吗？如果没有，您会为我的情况提出什么其他解决方案来处理上述两个安全问题。

提前感谢

现在有办法做到这一点。如果你真的想在客户端散列，你应该在散列之前在客户端进行长度检查。这里有一些提示

不过，更好的方法是使用HTTPS进行注册。这样可以保护密码

你们自己做散列之类的事情的问题是，这样做可能是错误的。例如，不推荐使用SHA-1。另外，如果你做杂烩，记得要用盐

现在有办法做到这一点。如果你真的想在客户端散列，你应该在散列之前在客户端进行长度检查。这里有一些提示

不过，更好的方法是使用HTTPS进行注册。这样可以保护密码

你们自己做散列之类的事情的问题是，这样做可能是错误的。例如，不推荐使用SHA-1。另外，如果你做杂烩，记得要用盐

不要那样做。对客户端上的密码进行散列，并将散列与服务器上存储的密码进行比较。相当于存储纯文本密码

攻击者不需要知道实际密码，就像散列已经成为密码一样。

不要这样做。对客户端上的密码进行散列，并将散列与服务器上存储的密码进行比较。相当于存储纯文本密码

攻击者无需知道实际密码，就像散列已成为密码一样。

散列之前是否在客户端进行长度检查？我想这是正常情况下，在适当的网站。在一些公司内部网中，我看到了服务器端密码长度验证。我没有费心去查看页面的代码，但我假设您可以让onSubmit处理程序将密码文本字段内容长度复制到某个隐藏的文本中？在客户端对密码进行哈希运算并不能真正提高安全性。只需使用HTTPS。@CodesInChaos为什么它不能提高安全性？@CodesInChaos：我在本帖的另一篇帖子的评论中描述了它如何提高安全性。但是不管怎样，对注册和登录时间使用HTTPS听起来更合理。在散列之前在客户端进行长度检查吗？我想这是正常情况下，在适当的网站。在一些公司内部网中，我看到了服务器端密码长度验证。我没有费心去查看页面的代码，但我假设您可以让onSubmit处理程序将密码文本字段内容长度复制到某个隐藏的文本中？在客户端对密码进行哈希运算并不能真正提高安全性。只需使用HTTPS。@CodesInChaos为什么它不能提高安全性？@CodesInChaos：我在本帖的另一篇帖子的评论中描述了它如何提高安全性。但无论如何，在注册和登录时间使用HTTPS听起来更合理。也许我应该提到我只想在注册时发送哈希密码。在登录时，客户端将明文密码（在安全通道中）发送到服务器，在服务器上，该密码将被散列并与存储在服务器中的散列版本进行比较。所以，这样，它就不等同于存储纯文本密码。你是对的，这样就不那么危险了。但你也没有提高安全性。使用与登录时相同的注册通道，您会没事的。Wy您不想在注册时使用HTTPS吗？也许我应该提到，我只想在注册时发送哈希密码。在登录时，客户端将明文密码（在安全通道中）发送到服务器，在服务器上，该密码将被散列并与存储在服务器中的散列版本进行比较。所以，这样，它就不等同于存储纯文本密码。你是对的，这样就不那么危险了。但你也没有提高安全性。使用与登录相同的注册频道，您会没事的。Wy您不想在注册时使用HTTPS吗？