Security
雜湊的意義何在?
我正在查看我公司的雜湊實現,我看到 root 使用者的密碼以 base64 編碼儲存。是什麼阻止任何人簡單地複制密碼並對其執行 base64 -d 操作?或者讓某人對任何其他 base64 密碼做同樣的事情?
我在這裡錯過了什麼嗎?
雜湊不是一種編碼,它是一種不可逆的數學變換。您不能採用雜湊並反轉計算以找到原始值:您只能通過嘗試密碼並對它們進行雜湊處理以查看雜湊是否匹配來嘗試暴力破解雜湊。
密碼通常儲存為密碼的 base64 編碼、加鹽雜湊。是雜湊部分使密碼無法恢復(鹽部分意味著預先生成的雜湊列表是無用的)。理想情況下,雜湊本身使用冗長的計算,因此暴力破解成本更高(我們不關心名義情況下的雜湊成本,因為您只需要執行一個雜湊來確定使用者提供的密碼是否有效)。
有關詳細資訊,請參閱如何安全地散列密碼?