1
にユーザーからのパスワード・トポロジーの収集、我々はいくつかの明確に定義されたセキュリティ標準に従ってください:ユーザーが当社のサイト上で自分自身を登録すると、安全な方法
- 塩
- ハッシュ(塩+パスワード) を生成
- ハッシュされたパスワードと塩をDBに格納する
最近、ホットトピックは「パスワードトポロジ」です。たとえば、ユーザーがUllllldd(大文字、小文字の5倍、2桁)のようなパスワードを生成しないようにする必要があります。なぜなら、攻撃者がそのトポロジに集中すれば、サイトで使用されている最も一般的なトポロジに関する情報を生成したいと考えています。当然のことながら、ハッシュされたパスワード情報をDB内で使用することはできません。そのハッシュからパスワード情報を復元することはできません。新しいユーザーが登録するたびに、トポロジテーブルがいっぱいになるという考えがありました。
ユーザー "joe"はパスワード "pass"で登録します。トポロジ「uuuu」がすでに存在するかどうかを確認します。そうでない場合は、count = 1のデータベーステーブルに追加してください。カウントが1の場合、カウントが1増加します。これはもちろん危険です。データベースが侵害された場合、攻撃者は突然最も一般的なトポロジーを知ります。
私の質問は、新しいセキュリティリスクを作成せずにパスワードトポロジ情報を収集して保存する方法です。