我是这样看的,如果一家公司可以适当地保护他们的哈希值,他们可以防止对他们的身份验证系统的暴力攻击,那么为什么密码真的需要有任何力量呢?
如果有人无法获取哈希并且他们无法暴力破解,那么密码相对安全,不是吗?
当然,简单的答案是"是的,但是,哈希并不总是保持安全"。但从业务的角度来看。如果他们要求用户保留一个强密码,他们基本上承认他们不能既保护哈希又防止暴力攻击。所以这是一家将自己的失败责任推给用户的公司,不是吗?
假设您的密码是 "a" ,一个非常弱的密码 (a)。
即使没有哈希,它也需要我大约...好吧,几乎没有时间用蛮力方法破解它。
哈希可能会使它更容易,但缺乏哈希并不一定使它不可能。
(a):这就是为什么我总是使用密码"b" - 破解需要两倍的时间:-)
密码哈希和盐使密码在存储在数据库中时是安全的,它们不能防止前端破解。
一个蛮力破解程序将再次运行一个网站,尝试从 a-999 等所有内容......一个简单的abc密码将立即被破解,无论哈希和盐多么安全。