我看到一些网站,尤其是银行网站,要求您输入这个(例如)。有时他们会在电话中要求此证明我的身份。
要做到这一点,散列算法是行不通的,不是吗?像银行一样安全的东西肯定有办法存储不可解密的密码吗?
【问题讨论】:
标签: database passwords password-storage
这可能不是一个在开放论坛上讨论的好项目,但是如何阻止他们将您选择的字符插入到记忆中,在适当的位置保存、解密、复制您难忘的短语或单词、加密并执行对结果进行二元比较?
【讨论】:
我想他们会有某种用于解密的私钥系统(甚至可能每个帐户都有一个私钥,以提高安全性)...
【讨论】:
是的,这可以在不保留密码的纯文本版本的情况下工作。简单地说,当您最初设置密码时,银行将散列它会要求的各种组合,并存储这些散列。这很容易实现,无论您是否有固定长度的密码(即 PIN 码)或可变长度的密码。这些哈希值可以存储在与用户相关的表中预设的一系列列中,也可以存储为简单的 3 列表 - ID(主键)、UserId、Hash, 的每个组合都有一行密码中有 n 个字符。
我怀疑这种方法在询问整个密码方面的有效性......也许有人对此有评论?
【讨论】:
他们可以很容易地保留单个字符的 HASH,不是吗?
您实际上不必使用单向 HASH。如果您确定您的密钥是安全的,您可以轻松地使用双向密码。在这种情况下,他们可以轻松地将密码保存在无法从网络访问的系统上。
【讨论】:
如果(某些)银行(或其他大公司)真的存储了纯文本密码,或者 ROT13 的密码,甚至是双 ROT13 的密码,那就不足为奇了......
【讨论】: