使用另一种盐验证密码+盐

Question

我将用户的凭据与编码密码存储在数据库中：sha1(pw + salt) 和 salt。 当我尝试从客户端应用程序登录用户时，我仅使用不同的盐值执行相同的操作，因此我发送 sha1(pw + another_salt) 和 another_salt 进行授权。

问题是，应该对接收到的编码密码进行哪些进一步修改，以便能够检查存储的值。

Answer 1

如果您从客户端发送某些内容，那么它是散列密码还是字符串并不重要。如果它是由客户端生成的内容（即您在客户端而不是服务器上生成盐） - 攻击者也可以只发送您的字符串。因此，如果它不是安全连接，那么您添加额外的工作是没有帮助的。

为了允许使用另一种盐检查服务器上的密码，您需要以明文形式存储原始密码。

这就是在数据库中存储哈希值而不是密码的全部目的是不允许仅从哈希值猜测它们。如果您另外对它们加盐，那么您需要使用相同的盐（它是公开的，因为它以明文形式存储在数据库中，但它现在是原始密码的一部分）。你问的是这样的：

如何登录用户（其密码是“安全密码”+“硬”=> sha1（“安全密码硬”））发送某些内容+“软”（然后使用 sha1（某些内容+“软”）进行测试） 反而。

如果您确实需要此应用程序工作，只需从客户端应用程序以明文形式发送用户密码，但通过安全连接。