Security 持久cookie的GUID与md5哈希
我正在研究如何为站点实现持久的“记住我”类型cookie。我只是想知道,是否将安全令牌的GUID用作用户名和密码的md5散列?GUID更“安全”,因为在随机标识符中不可能泄露信息。否则,如果用户名是已知的,则可以使用每个用户名的彩虹表或协同攻击来提取密码,因为在散列之前没有添加盐。注意:MD5在这一点上是一个相当弱的散列 长话短说,如果你不需要将私人信息存储在cookies中,那么你就不需要了。改用随机令牌。GUID更“安全”,因为随机标识符中不可能有信息泄露。否则,如果用户名是已知的,则可以使用每个用户名的彩虹表或协同攻击来提取密码,因为在散列之前没有添加盐。注意:MD5在这一点上是一个相当弱的散列Security 持久cookie的GUID与md5哈希,security,authentication,cookies,guid,Security,Authentication,Cookies,Guid,我正在研究如何为站点实现持久的“记住我”类型cookie。我只是想知道,是否将安全令牌的GUID用作用户名和密码的md5散列?GUID更“安全”,因为在随机标识符中不可能泄露信息。否则,如果用户名是已知的,则可以使用每个用户名的彩虹表或协同攻击来提取密码,因为在散列之前没有添加盐。注意:MD5在这一点上是一个相当弱的散列 长话短说,如果你不需要将私人信息存储在cookies中,那么你就不需要了。改用随机令牌。GUID更“安全”,因为随机标识符中不可能有信息泄露。否则,如果用户名是已知的,则可以使
长话短说,如果你不需要将私人信息存储在cookies中,那么你就不需要了。改为使用随机令牌。所以在持久cookie中使用安全令牌的GUID是一个好的做法?@chobo是的,这很好。只要你不允许访问任何仅基于cookie的内容。。。显然,您不能设置永久登录cookie并维护安全性,因为cookie可能被盗。会话是这样工作的:cookie存储一个随机ID,随机ID与服务器端数据库相关联。我计划将guid令牌与用户名和密码存储在同一个表中,如果用户名和令牌匹配,则查找用户名和令牌(用户经过身份验证)我将生成一个新的令牌,并更新数据库中的cookie和令牌字段,因此它将是一次性令牌。因此,在持久cookie中为安全令牌使用GUID将是一种良好的做法?@chobo是的,这很好。只要你不允许访问任何仅基于cookie的内容。。。显然,您不能设置永久登录cookie并维护安全性,因为cookie可能被盗。会话是这样工作的:cookie存储一个随机ID,随机ID与服务器端数据库相关联。我计划将guid令牌与用户名和密码存储在同一个表中,如果用户名和令牌匹配,则查找用户名和令牌(用户经过身份验证)我将生成一个新的令牌并更新数据库中的cookie和令牌字段,因此它将是一次性令牌。