在表中存储密码和摘要式身份验证

关于如何在表格中存储网站用户密码的问题已经出现好几次了,一般的建议是存储密码的散列,最终是HMAC散列。 这适用于基本身份验证或基于表单的身份验证(真的是同一件事)。 我的问题是我还必须提供Digest认证,目的在于连接到我的服务的自动化工具。 我一直在看这个问题,并且正如我所看到的那样,我可以存储的唯一散列是摘要的HA1部分: username : realm : password的散列。 这样我可以验证基本/形式和摘要。

我的问题是我没有看到这样做的好处。 现在的确,如果攻击者获得我的密码表(因为他只有哈希值并且他需要发送清除密码),那么他不能使用基本或基于表单的身份验证,但是没有任何东西阻止他使用摘要身份验证并提供有效的响应以我的服务挑战:他只是从表中预先计算的HA1开始,并继续从那里制定响应(即我在后端验证用户的同样事情)。

我错过了什么吗? Digest要求的添加是否基本上使得哈希密码的存储成为安全pov的无操作,最多只会导致混淆?


我使用预先计算的哈希的原因不是防范攻击,而是为了保护用户的隐私。

攻击者确实可以进行身份​​验证,但他不能(轻易地)看到我的宝贵用户的密码并损害他们正在使用的其他服务等。

链接地址: http://www.djcxy.com/p/3751.html

上一篇: Storing password in tables and Digest authentication

下一篇: websites prevent MITM attack for token based authentication?