Questions tagged «passwords»

这比普通的MD5安全多少？我刚刚开始研究密码安全性。我对PHP很陌生。 $salt = 'csdnfgksdgojnmfnb'; $password = md5($salt.$_POST['password']); $result = mysql_query("SELECT id FROM users WHERE username = '".mysql_real_escape_string($_POST['username'])."' AND password = '$password'"); if (mysql_num_rows($result) < 1) { /* Access denied */ echo "The username or password you entered is incorrect."; } else { $_SESSION['id'] = mysql_result($result, 0, 'id'); #header("Location: ./"); echo …

169 php  security  passwords  salt  password-hash 

我可以理解，对密码施加最小长度是很有意义的（为了使用户免于自己的攻击），但是我的银行要求密码长度必须介于6到8个字符之间，我开始怀疑... 这难道不只是使暴力攻击更容易吗？（坏） 这是否意味着我的密码未加密存储？（坏） 如果有人（希望）有一些出色的IT安全专业人员正在为他们强加最大密码长度，我是否应该考虑做类似的事情？这有什么优点/缺点？

162 security  encryption  passwords 

我想知道MVC 5和ASP.NET Identity Framework随附的UserManager中默认实现的密码哈希器是否足够安全？如果可以的话，如果您能向我解释一下它是如何工作的？ IPasswordHasher接口看起来像这样： public interface IPasswordHasher { string HashPassword(string password); PasswordVerificationResult VerifyHashedPassword(string hashedPassword, string providedPassword); } 如您所见，它并不需要花很多精力，但是在该线程中提到了这一点：“ Asp.net身份密码哈希 ”确实在后台添加了盐。所以我想知道它是如何做到的？这种盐从哪里来？ 我担心的是盐是静态的，使其非常不安全。

162 c#  asp.net  security  passwords  asp.net-identity 

我一直很好奇...给哈希密码加盐时，哪种更好：前缀还是后缀？为什么？还是重要，只要你加盐？ 解释一下：到现在，我们所有人（希望如此）都知道在对密码进行哈希处理以存储到数据库之前，应该先对密码加盐 [ 编辑：这样就可以避免Jeff Atwood最近发生的事情 ]。通常，这是通过在盐经过哈希算法之前将盐与密码连接起来来完成的。但是示例各不相同...一些示例在密码前加盐。一些示例在密码后添加盐。我什至看到一些尝试将盐撒在中间的方法。 那么哪种方法更好，为什么呢？有没有一种方法可以减少哈希冲突的机会？我的Google搜索功能尚未对此问题进行过体面的分析。 编辑：乡亲们很好的答案！对不起，我只能选择一个答案。:)

162 hash  cryptography  passwords  salt 

按照目前的情况，这个问题不适合我们的问答形式。我们希望答案会得到事实，参考或专业知识的支持，但是这个问题可能会引起辩论，争论，民意测验或进一步的讨论。如果您认为此问题可以解决并且可以重新提出，请访问帮助中心以获取指导。 7年前关闭。 我正在寻找实现“忘记密码”功能的最佳方法。 我提出了两个想法： 当用户单击“忘记密码”时，要求用户键入用户名，电子邮件，并可能输入出生日期或姓氏。然后，带有临时密码的邮件将被发送到用户的电子邮件帐户。用户使用临时密码登录并重置密码。 与之类似，但电子邮件中将包含一个链接，以使用户重设密码。 还是有人可以建议我一种更好，更安全的方法？我也在考虑发送临时密码或链接，强制用户在24小时内重设密码，否则临时密码或链接将无法使用。怎么做？

153 security  authentication  passwords  forgot-password 

我正在编写将要执行的C Shell程序，su或者sudo或orssh。他们都希望在控制台输入（TTY）而不是stdin或命令行中输入密码。 有人知道解决方案吗？ 设置无密码sudo不是一种选择。 期望 可能是一个选择，但精简系统中没有该选项。

148 linux  ssh  passwords  sudo  su 

我想在mysql中使用以下语法创建一个新用户： create user 'demo'@'localhost' identified by 'password'; 但是它返回一个错误： 您的密码不符合当前的政策要求。 我尝试了很多密码，但是它们不起作用。我怎样才能解决这个问题？

148 mysql  passwords 

我遇到了一个讨论，在该讨论中，我了解到我实际上在做的并不是给密码加盐，而是给它们添加了胡椒粉，从那时起，我就开始使用以下功能： hash_function($salt.hash_function($pepper.$password)) [multiple iterations] 忽略选择的哈希算法（我希望这是关于盐和胡椒的讨论，而不是特定算法的讨论，但我使用的是安全算法），这是安全的选择还是我应该做一些不同的事情？对于那些不熟悉这些术语的人： 甲盐是通常存储与设计，使其不可能使用哈希表来破解密码的数据库中的字符串中的随机生成值。由于每个密码都有自己的特色，因此必须将所有密码单独强行破解。但是，由于盐与密码哈希一起存储在数据库中，因此数据库泄密意味着同时丢失两者。 甲胡椒是从中旨在是秘密的数据库（在应用程序的源代码通常硬编码）分开存储站点范围静态值。使用它是为了避免对数据库造成危害，不会导致整个应用程序的密码表都是蛮力的。 我有什么遗漏的东西吗？保护密码安全的最佳选择是保护我的用户的安全吗？这样做是否有潜在的安全缺陷？ 注意：出于讨论目的，假设应用程序和数据库存储在单独的计算机上，不共享密码等，因此违反数据库服务器并不自动意味着违反了应用程序服务器。

145 security  hash  passwords  salt  password-hash 

我的密码强度标准如下： 8个字符的长度 大写2个字母 1个特殊字符 (!@#$&*) 2个数字 (0-9) 小写3个字母 有人可以请给我正则表达式。必须通过密码满足所有条件。

142 regex  passwords 

当前对该问题的最高投票指出： 另一个与安全性无关的安全性问题虽然完整，但完全无法解决哈希散列密码和加密密码之间的区别。最常见于程序员试图提供不安全的“提醒我密码”功能的代码中。 到底有什么区别？我总是给人以哈希是一种加密形式的印象。海报所指的不安全功能是什么？

140 security  language-agnostic  encryption  hash  passwords 

我只是开始考虑api密钥和秘密密钥是如何工作的。就在两天前，我注册了Amazon S3并安装了S3Fox插件。他们要求我提供我的访问密钥和秘密访问密钥，这两个都要求我登录才能访问。 所以我想知道，如果他们要我提供我的秘密密钥，他们一定会将它存储在正确的位置吗？问我输入信用卡号或密码并将其存储在他们自己的数据库中，这基本上不是同一件事吗？ 秘密密钥和api密钥应该如何工作？他们需要成为什么秘密？这些使用秘密密钥的应用程序是否以某种方式存储了密钥？

136 security  amazon-s3  passwords  api-key  secret-key 

在我的应用程序中，有一个textField用户必须在其中输入密码，我希望当他输入字符时将其更改为“•”，我该怎么做？

132 swift  passwords 

当我要放置一个登录系统时，我总是将给定密码的MD5与服务器端的users表中的值进行比较。 但是，我的一个朋友告诉我，网络软件可能会嗅到“清除”密码。 所以我的问题是：在客户端哈希密码是否是一个好主意？它比在服务器端对其进行哈希处理更好吗？

132 passwords  client-side  hash 

phpMyAdmin中的 “ root”一词是什么意思？ 每当我localhost/phpmyadmin在地址栏上书写时，都会要求我输入用户名和密码，但我不知道它们是什么。我不记得我在何时何地设置它们。从哪里可以获取我的用户名和密码来登录phpMyAdmin？

130 php  mysql  windows  phpmyadmin  passwords 

我有一个自动构建服务，可以从git私有存储库下载。问题在于，当它尝试克隆存储库时，需要提供密码，因为它不会被记住。因此，由于没有人为干预，它将永远等待密码。如何强制从id_rsa.pub记住它？

125 windows  git  passwords  ssh-keys