Itqualityassurance
- Adakah kata laluan hashed di frontend atau backend?
- Bagaimana penggodam mencari kata laluan hashed?
- Bolehkah anda menyahkod kata laluan hashed?
- Sekiranya kata laluan hashed di sisi pelanggan?
Adakah kata laluan hashed di frontend atau backend?
Backend.
Sekiranya anda hanya hash mereka di hadapan, anda terdedah kepada serangan hash. Sebab anda kata laluan hash dalam pangkalan data anda adalah untuk mengelakkan penyerang yang sudah menjejaskan pangkalan data anda daripada menggunakan kata laluan tersebut.
Bagaimana penggodam mencari kata laluan hashed?
Masalahnya adalah bahawa hash masih perlu disimpan, dan apa sahaja yang disimpan boleh dicuri. Penggodam boleh mendapatkan hash kata laluan dari pelayan yang disimpan dalam beberapa cara. Ini termasuk melalui pekerja yang tidak puas hati, suntikan SQL dan pelbagai serangan lain.
Bolehkah anda menyahkod kata laluan hashed?
Fungsi hash direka untuk pergi hanya satu cara. Sekiranya anda mempunyai kata laluan, anda boleh mengubahnya menjadi hash, tetapi jika anda mempunyai hash, satu -satunya cara untuk mendapatkan kata laluan asal kembali adalah dengan kekerasan, mencuba semua kata laluan yang mungkin untuk mencari satu yang akan menghasilkan hash yang anda mempunyai.
Sekiranya kata laluan hashed di sisi pelanggan?
Kata laluan hashing memungkinkan untuk menggunakannya untuk pengesahan, sambil menjadikannya sukar untuk membina semula kata laluan asal. Kata laluan hashing pada pelanggan mungkin bermanfaat: walaupun ia tidak melindungi terhadap penyerang, ia melindungi terhadap kesilapan yang tidak disengajakan.
