偶尔刷新散列密码更安全吗?
我正在学习盐和哈希密码。 我有一个与SQL数据库集成的节点应用程序。 我正在使用bcrypt节点中间件来创建哈希和腌制密码以存储在我的数据库中。 我已经阅读了如何不必使密码过期,除了安全威胁......但密码的哈希值是什么?
以我的观点来看,如果每个星期左右随机更新每个用户的哈希密码,它会不会更安全? 密码将保持不变,但服务器将生成并存储新的散列。
如果有人试图攻击我的网站或数据库,会不会随意更改帮助安全?
不,它根本没有帮助。 无论哈希值是否更改都无关紧要 - 密码仍然相同,因此攻击者仍然可以对他发现的数据库启动密码搜索攻击,而不管它是否是当前的密码。
感谢您使用bcrypt并了解密码过期策略如何实际上毫无用处。 为了您的信息,NIST正在提供关于密码安全性的新指南,好消息是,许多恼人的旧事物如密码过期和需要组合特殊字符的内容正在被丢弃。 谢天谢地,逻辑已经开始胜过过去十年间被太多人强迫的一堆垃圾密码政策建议。
它不会帮助,因为底层算法保持不变。 在黑客收到散列密码列表的情况下,她可以用已知的算法强制哈希,并以明文形式对付单词列表中的猜测盐。 当算法和猜测的salt等于纯文本时,无论结果散列如何,密码都会被破解。
链接地址: http://www.djcxy.com/p/21601.html上一篇: Is it more secure to refresh hashed passwords occasionally?
下一篇: How to hash long passwords (>72 characters) with blowfish