sql >> Database >  >> RDS >> Mysql

Gebruikersnaam, Wachtwoord, Salting, Encrypting, Hash - Hoe werkt het allemaal?

Als u captcha's uitsluit, limieten, uitsluitingen, enzovoort probeert, dan ja. Je hoeft alleen maar de tekst zonder opmaak bruut te forceren.

Dat kost echter wel tijd - op zijn minst wordt het beperkt door de snelheid waarmee de server zal reageren op inlogverzoeken. Zelfs als de ontwikkelaar geen maatregelen neemt om brute forcing te voorkomen, kan de server zelf het proces van versleuteling + verificatie maar zo snel doorlopen en kan hij maar een beperkt aantal parallelle verzoeken afhandelen.

Dat gezegd hebbende, daarom is het belangrijk om

  • Gebruik als gebruiker een sterk, moeilijk te forceren wachtwoord
  • Zorg als ontwikkelaar voor adequate maatregelen om brute-forcering van uw inlogproces te voorkomen

Het hashen en salten van wachtwoorden is niet bedoeld om te beschermen tegen mensen die het natuurlijke inlogproces bruut forceren (er zijn andere dingen die daartegen beschermen). In plaats daarvan zijn ze bedoeld om te beschermen tegen mogelijke inbreuk op de wachtwoordopslag zelf (bijvoorbeeld iemand die de inhoud van de database dumpt).

Zowel hashen als zouten dienen om de snelheid . te verlagen waarbij iemand met toegang tot de opgeslagen wachtwoorden de tekst zonder opmaak kan ophalen die ze nodig hebben om het natuurlijke inlogproces te kunnen doorlopen (van uw site of andere sites , aangezien wachtwoorden vaak worden gedeeld tussen sites) zonder de anti-brute-forcing beveiligingsmaatregelen te omzeilen.



  1. geef javascript-variabele door aan php mysql select query

  2. Hoe de functie JulianDay() werkt in SQLite

  3. Som met SQL server RollUP - maar alleen laatste samenvatting?

  4. Zoek tekst in opgeslagen procedure in SQL Server