Tôi đã tự hỏi tại sao ngay cả đối với cùng một tên người dùng và cùng một mật khẩu, httpasswd xuất ra một băm mới mỗi lần? Tôi đã thử tìm câu trả lời cho câu hỏi này, nhưng không thể.Đầu ra khác nhau, cùng tên người dùng và mật khẩu
14
A
Trả lời
12
Mật khẩu được tạo bởi "htpasswd" sử dụng một loại muối ngẫu nhiên, để khó đoán hơn. Nó cũng có nghĩa là các từ điển được mã hóa trước cho các cuộc tấn công phải lớn hơn nhiều vì chúng phải mã hóa mọi mật khẩu có thể với mọi muối có thể.
htpasswd sử dụng crypt(3) phía sau hậu trường.
0
Đây là mẹo cho bạn, khi tạo khóa hoặc chuỗi bí mật, hãy sử dụng one_way_hash (muối + thời gian hiện tại), đây là, nếu không phải là không thể, khó crack. Tôi thường sử dụng tính năng này để tạo mã thông báo hoặc khóa phiên.
Các vấn đề liên quan
- 1. Tại sao mật khẩu băm khác nhau cho 2 người dùng có cùng mật khẩu?
- 2. tên người dùng & mật khẩu trong sqlite3
- 3. Kiểm tra tên người dùng và mật khẩu trong Android
- 4. VisualSVN Server muốn có tên người dùng và mật khẩu
- 5. Curl để nhắc tên người dùng và mật khẩu
- 6. Bảo mật Ngoài Tên người dùng/Mật khẩu?
- 7. Android: Lưu trữ tên người dùng và mật khẩu?
- 8. Gửi tên người dùng và mật khẩu cho svcutil.exe?
- 9. Mạo danh với tên người dùng và mật khẩu?
- 10. Powershell: cách ánh xạ ổ đĩa mạng với tên người dùng/mật khẩu khác nhau
- 11. Bắt đầu một quá trình với một tên người dùng và mật khẩu
- 12. Với tên người dùng và mật khẩu, bạn mạo danh người dùng đó như thế nào?
- 13. Tên người dùng/mật khẩu máy chủ HSQLDB
- 14. gvfs-mount chỉ định mật khẩu tên người dùng
- 15. Chạy mstsc.exe với tên người dùng và mật khẩu được chỉ định
- 16. WCF - BasicHttpBinding, Không có tên người dùng và/hoặc mật khẩu có sẵn, tên: null, mật khẩu: null
- 17. Cắt bớt khoảng trắng từ tên người dùng và mật khẩu
- 18. cung cấp tên người dùng và mật khẩu chính xác, nhận được ORA-01017: tên người dùng/mật khẩu không hợp lệ; đăng nhập bị từ chối
- 19. htaccess mật khẩu bảo vệ tập tin với người dùng khác nhau
- 20. git: bắt buộc người dùng và mật khẩu nhắc
- 21. IIS 7.5 đang nhắc nhập tên người dùng và mật khẩu
- 22. Lỗi trong kết nối FTP bằng tên miền, tên người dùng và mật khẩu?
- 23. Phải có tên người dùng và mật khẩu từ chuỗi kết nối?
- 24. Nhận tên người dùng/mật khẩu của người dùng đã đăng nhập trong Windows
- 25. Người dùng và mật khẩu quản trị cho Netbeans đã tạo tên miền Glassfish?
- 26. svn cập nhật với tài khoản khác nhau (- tên người dùng và --password bỏ qua?)
- 27. Django, ModelForms, Người dùng và UserProfile - không băm mật khẩu
- 28. Cách chuyển tên người dùng và mật khẩu trong API TeamCity REST
- 29. Cách thêm Tên người dùng và Mật khẩu vào kết nối Rethinkdb?
- 30. WCFTestClient - làm cách nào để thêm tên người dùng và mật khẩu?
Cảm ơn. Tôi không biết muối ngẫu nhiên. – user225312
'passwd', tiện ích thay đổi mật khẩu Unix thực hiện tương tự. (Mặc dù những ngày này, nhiều người trong số họ làm mật khẩu MD5 thay vì crypt, vì vậy không có muối.) –
Trong trường hợp bạn đang tự hỏi, "Làm thế nào để máy chủ xác định muối nếu muối được tạo ngẫu nhiên?" .. muối là hai ký tự đầu tiên của đầu ra 'crypt()'. –