网站不应该直接保存密码的hash值。。。。。。。。 <- 中国开发网

CNDEV.ORG

当前在线

论坛

CBD
- 程序员情感CBD
- 程序员见面交流会
CBD开发区
- Java/J2ME
- .NET/C#
- 数据库
- Delphi/BCB
- Visual C
个人
- 袁国术的个人网站
- 翟旭东网!!!
其它
情感
游戏
- CNDEV-CS/WOW
- 浩宇长空
生活
论坛系统

中国开发网: 论坛: 程序员情感CBD: 贴子 551058

haitao：

网站不应该直接保存密码的hash值。。。。。。。。

[阅读: 502] 2007-08-13 05:36:01

而应该保存用户名+网站特征+密码的hash值

否则，同一个系统里的低级一个用户的密码hash值覆盖高级用户，也就可以登录这个用户了！——数据库管理员很容易做到

相关信息:

md5彻底完了 (20字) (amo [789] 2007-08-13 12:29)
- 呵呵。。。。。。。。。。。 (988字) (haitao [579] 2007-08-13 12:33)
  - 同样字符串，怎么md5（16位）结果不一样？ (2832字) (haitao [1646] 2007-08-13 12:38)
    - 友情提示 (23字) (好望角 [458] 2007-08-13 12:40)
      - RSA是通过一个大随机数的。。。。。。。。des（如果key不变）、md5好像是纯粹的公式，应该不变才对 (42字) (haitao [530] 2007-08-13 12:51)
    - 当然应该一样 (空) (holly [371] 2007-08-13 12:53)
- 我靠！这样也行啊？ (空) (风无影 [874] 2007-08-13 12:41)
- so old . (37字) (Apache [419] 2007-08-13 12:53)
  - 多查几次 (空) (leejd [375] 2007-08-13 12:56)
    - 哪有这么BT的 (48字) (Apache [464] 2007-08-13 12:59)
  - 同意，我也是做至少三次操作的 (空) (变废为宝 [411] 2007-08-13 13:59)
- 它收了这么多，1、有没有遇到不同字符串单md5一样的？2、把一个md5值简单改一点，就总是找不到 (36字) (haitao [657] 2007-08-13 13:22)
  - 1. 会有冲突的, 王小云已经证明了这一点 2. 什么叫改简单一点? (空) (holly [385] 2007-08-13 13:23)
    - 我希望是字符串的冲突（她能找到另一个二进制）；如ca8241914870afbc改为ca8241914870afbb (63字) (haitao [457] 2007-08-13 13:26)
      - “啊”和“J”的md5是一样的！！！！！！！！！！！！！！！！ (172字) (haitao [893] 2007-08-13 13:31)
        这种比较是没有意义的，MD5本身应该算是个不可逆的算法，所以不同的明文可能产生相同的密文，只能单向操作 (空) (变废为宝 [561] 2007-08-13 13:57)
        不是比较，只是好奇会不会出现有意义的字符串的撞车。。。。。。。 (89字) (haitao [533] 2007-08-13 13:59)
- 另加入了某大型网站真实会员密码数据10万条 ---这个就有点意思了。意思基本上就是，你在各个网站注册的时候，不能用同一个密码了。 (空) (pcplayer [916] 2007-08-13 13:32)
  - 网站不应该直接保存密码的hash值。。。。。。。。 (84字) (haitao [501] 2007-08-13 13:36)
    - 哪有那么容易就覆盖的 (空) (holly [377] 2007-08-13 13:54)
    - 偶投降！！！！ (空) (好望角 [377] 2007-08-13 13:56)
      - 这是小技巧而已，你投什么降 (55字) (haitao [432] 2007-08-13 14:01)
        他投降是因为他爱上了你。 (空) (没脾气2x [400] 2007-08-13 14:02)
        偶都投降了，Y还要踩，靠，这算虐待俘虏。 (32字) (好望角 [483] 2007-08-13 14:03)
        嘿嘿，偶就不说啥了。 (10字) (ycm0263 [482] 2007-08-13 20:56)
- 其实，做 hash 的时候是要添油加醋的。如果加进去的盐不同，结果就自然不同了。 (空) (pcplayer [499] 2007-08-13 13:34)
  - 就是，同样的算法，初始化向量和盐不一样那就是不一样的 (空) (变废为宝 [559] 2007-08-13 13:49)
- 只要是加密算法公开的方法，都有这种问题吧 (5字) (王中王 [457] 2007-08-13 13:51)
  - 算法可以公开，内容不一定公开吗 (88字) (haitao [467] 2007-08-13 13:53)
- 穷举有啥用 (空) (holly [404] 2007-08-13 13:53)
  - 破不采用我说的小技巧的网站的用户密码，就有用了 (空) (haitao [435] 2007-08-13 14:09)
    - 一样没用. 不信你试试? (18字) (holly [399] 2007-08-13 14:41)
      - 44944 (7字) (haitao [406] 2007-08-13 14:42)
        靠 (10字) (holly [389] 2007-08-13 15:00)
      - 你从哪据说的…… (空) (没脾气2x [385] 2007-08-13 17:38)
        显然也是路过了 (94字) (haitao [408] 2007-08-13 17:39)
        不是偶说的。 (7字) (ycm0263 [387] 2007-08-13 20:57)
- ，。， (空) (UnKnow365 [355] 2007-08-13 14:56)

欢迎光临本社区，您还没有登录，不能发贴子。请在这里登录

页面内容处理时间: 0.027 - 529688