Re: 加鹽已回收
看板Marginalman作者lturtsamuel (謹言慎行 拼relocate)時間3年前 (2022/06/25 02:20)推噓2(2推 0噓 5→)留言7則, 2人參與討論串3/5 (看更多)
※ 引述《qqq3892005 (神野詩祈オルタ)》之銘言:
: 最原始的帳密
: 就明碼
: 大家都看得到內容
: 再來是加密
: 可是如果知道加密金鑰
: 那就跟明碼一樣
: 再再來是用Hash值
: 這個可能你載片時會看到上傳者放Hash值跟你比對檔案完整性
: Hash算法可以把任意量的資訊轉成固定長度的Hash值
: 而且原始內容改一下Hash值就會變很多
: 沒辦法從Hash值反推回原始資訊
: 系統就可以設計成
: 你打密碼的時候
: 它把你打的密碼轉換成Hash值再儲存/傳送
: 系統自己也不知道你的密碼
: 只是你打的密碼的Hash值跟它存的Hash值一樣
: 所以判斷你打的密碼一樣
: 這樣Hash值就算外洩
: 偷的人不知道密碼也沒用
: 如果他直接輸入Hash值 系統也只會對那個Hash值進行Hash運算產生新的、不同的Hash值
: 就跟裡面存的不一樣 驗證失敗
: 不過因為人會打的密碼也就英文數字符號組合
: 所以雖然從Hash沒辦法反推密碼
: 可是他可以從001、002......001a...這樣每個排列組合都算一次Hash
: 然後直接看哪個跟他偷到的Hash一樣 就知道密碼了
: 而且也不用當場算
: 一般都是用通用的Hash演算法
: 它可以事先就準備好大字典
: 所以又多了加鹽這個做法
: 就是 在算Hash之前,在你的密碼裡插一點內容
: 比如說你密碼是123
: 系統在你打完123之後,先把它改成a123
: 然後才計算Hash
: 可是偷的人不會知道系統有做這個改的動作
: 它偷到Hash
: 查完字典
: 發現這Hash是a123轉出來的
: 就在密碼欄打a123
: 結果系統就把它轉成aa123
: Hash比對失敗
: 不通過
: 更強化一點還可以讓每個帳號加鹽內容不一樣
: 這樣就算想自己創小號找規律都找不到
: 大概是這樣
不過
如果密碼資料庫都外洩了
鹽八成也會一起洩出去了吧
這樣駭客一樣暴力揣然後加上鹽再雜湊
跟沒加鹽會有差ㄇ
還是說醍醐味就是了不要把鹽洩漏出去
-----
Sent from JPTT on my Google Pixel 3 XL.
--
~$ sudo make love -j4
Error: 女朋友.c: 沒有此一檔案或目錄
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 101.12.18.249 (臺灣)
※ 文章網址: https://www.ptt.cc/bbs/Marginalman/M.1656094857.A.6F9.html
推
06/25 02:35,
3年前
, 1F
06/25 02:35, 1F
→
06/25 02:35,
3年前
, 2F
06/25 02:35, 2F
→
06/25 02:36,
3年前
, 3F
06/25 02:36, 3F
推
06/25 02:41,
3年前
, 4F
06/25 02:41, 4F
→
06/25 02:42,
3年前
, 5F
06/25 02:42, 5F
→
06/25 02:43,
3年前
, 6F
06/25 02:43, 6F
→
06/25 02:44,
3年前
, 7F
06/25 02:44, 7F
討論串 (同標題文章)