每次用户登录并覆盖原始密码时,重新对其进行密码处理是否有用?
|
用户输入密码,然后提交登录表单。密码发送到服务器,运行身份验证,并且哈希密码与数据库中存储的密码匹配。
这就是我想知道的发挥作用的地方。我想知道的是,这种情况是否有用:
然后,使用新的随机盐重新加密用户的密码,并覆盖数据库中存储的原始哈希。下次用户登录时,他们仍然输入完全相同的密码,但是正在检查其他哈希。
请让我知道这是否是一种更安全的密码哈希方法。
编辑
我写这个问题的能力很差。...我一直在研究使非SSL登录脚本更安全的方法,并且想到了使用javascript在通过发布数据发送密码之前对密码进行哈希处理的想法。这让我很不高兴,除非黑客拦截散列的帖子数据是毫无意义的,因为从那时起,他就可以使用散列发送伪造的帖子数据。我必须考虑每次都用新的盐重新散发通行证,因此黑客每次想要访问该用户的帐户时都必须不断重新嗅探该连接。
这样,在受害者的计算机上没有按键记录器或某种客户端软件的情况下,黑客将无法访问客户端的密码,因此只能一次访问一个会话,用户登录后,哈希将发生变化,当用户再次登录以获取新哈希时,黑客必须一直在监听。
没有找到相关结果
已邀请:
2 个回复
徘廷
梦话快家腹