密码哈希类型不是与哈希一起存储的吗?
否则,系统如何在不知道哈希类型的情况下验证密码?
是的,系统必须识别哈希类型。
要么只有一种散列类型(使用散列的代码隐式地假设散列类型(,要么存在散列类型的混合(散列类型可能仍然存储在代码中,或者以某种方式与散列一起存储(。
但是系统不需要将这些信息暴露给用户。以Facebook为例,他们的密码存储方法足够公开,以至于Alec Muffett对此进行了公开录音。许多其他系统都没有透露他们的密码哈希方法。
有时,可以推导出哈希方法,最著名的是descrypt(在8个字符处截断(和bcrypt(在72个字符处截短(。在这两种情况下,可以使用比截断长度长但不完全匹配的密码来推断正在使用的密码哈希。
javascript python java c# php android html jquery c++ css ios sql mysql arrays asp.net json python-3.x ruby-on-rails .net sql-server django objective-c excel regex ruby linux ajax iphone xml vba spring asp.net-mvc database wordpress string postgresql wpf windows xcode bash git oracle list vb.net multithreading eclipse algorithm macos powershell visual-studio image forms numpy scala function api selenium