Java开发网 |
注册 |
登录 |
帮助 |
搜索 |
排行榜 |
发帖统计
|
您没有登录 |
» Java开发网 » Java Security
打印话题 寄给朋友 订阅主题 |
作者 | 探讨口令加密的问题 [精华] |
eagle110
发贴: 12 积分: 0 |
于 2004-07-09 08:45
我在学习研究口令加密问题时,看到有关资料上说,用消息摘要的形式保存口令安全性高,如果再用加盐技术就可以防范字典式攻击;或许是我还没有了解清楚,如果用这种方式保存密码的话,一旦用户丢失密码,要找回原来的密码,是否有办法呢?在数据库里只保存着消息摘要,如何可以取回密码呢? |
作者 | Re:探讨口令加密的问题 [Re:eagle110] |
Jove
CJSDN高级会员 发贴: 1228 积分: 194 |
于 2004-07-09 10:02
所以不能找回密码,只能重设密码 也就是用户提供email,系统随机生成一个密码,并发至email 为避免误操作和恶作剧,一般还要在注册时填写密码问题和答案 |
作者 | Re:探讨口令加密的问题 [Re:eagle110] |
menzy
版主 发贴: 754 积分: 113 |
于 2004-07-12 07:48
这个问题的前提是: 1. 你的网络管理没有做好,没有健全的网安系统 2. 你的应用服务器被非法攻占,或者你的数据库服务器直接暴露在外部 3. 你的数据库服务器安全等级低,没有合适的控制手段。 |
作者 | Re:探讨口令加密的问题 [Re:eagle110] |
eagle110
发贴: 12 积分: 0 |
于 2004-07-12 08:34
是不是说,如果本身数据库安全性能较好,并且未暴露在外部的话,就可以直接把密码经过加密后储存在数据库中,无须存消息摘要(密码必须是可以取回的);而只有当楼上斑竹所说的那种情况下,才须储存消息摘要,并把其他信息如EMAIL等也把它们的信息摘要储存进数据库。 |
作者 | Re:探讨口令加密的问题 [Re:eagle110] |
sailing27
发贴: 6 积分: 0 |
于 2004-09-07 16:41
如果数据库不安全用什么方法都不安全。 |
已读帖子 新的帖子 被删除的帖子 |
Powered by Jute Powerful Forum® Version Jute 1.5.6 Ent Copyright © 2002-2021 Cjsdn Team. All Righits Reserved. 闽ICP备05005120号-1 客服电话 18559299278 客服信箱 714923@qq.com 客服QQ 714923 |