私は維持するためにアプリを継承していると私はちょうど発見したことから返されたJSON、ユーザがログインに成功したログインが含まれる場合:塩と暗号化されたパスワードの両方を漏らすセキュリティリスクとは何ですか?
-
DB
- ユーザー名 でのユーザーレコードの
- 主キー
- 暗号化したパスワード
- パスワードの塩は
塩と暗号化されたパスワードを持つことが一般的に塩の目的を無効にすることを思えます。
ブルートフォースまたはルックアップテーブルの攻撃がクラッキングアプローチとして再び利用可能になりました。
私はこれを訂正していますが、それ以上の脅威はありますか?
「暗号化されたパスワード」の意味は不明です。ハッシュされた(または伸ばされた)パスワードを意味しますか?それとも実際に鍵で暗号化されていますか?パスワードを平文に復号化できますか? –
@RobNapierこんにちは。暗号化されたパスワードでは、ハッシュ(パスワード+塩)=ハッシュ結果を意味します。 – aero