V2EX › wy315700 的所有回复 › 第 238 页 / 共 349 页

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

1 ... 234 235 236 237 238 239 240 241 242 243 ... 349

❮

❯

2015-05-27 15:25:11 +08:00

回复了 jookr 创建的主题 › MySQL › mysql 能否一句 sql 验证加盐的密码？

@jsq2627 其实吧，现在的TLS都是形同虚设，以前好像有过调查，排名前1000的APP，大多没有正确使用TLS，也就是说，大部分APP里的TLS都没有校验证书正确性，，，，

2015-05-27 15:03:36 +08:00

回复了 jookr 创建的主题 › MySQL › mysql 能否一句 sql 验证加盐的密码？

@dallaslu 你这么做有个问题诶，密码必须明文存，PPTP就是这么做的

2015-05-27 14:41:04 +08:00

回复了 jookr 创建的主题 › MySQL › mysql 能否一句 sql 验证加盐的密码？

@dallaslu 你这样如何检验密码正确性，每次提交的MD5都不一样。

2015-05-27 14:37:25 +08:00

回复了 jookr 创建的主题 › MySQL › mysql 能否一句 sql 验证加盐的密码？

@loading 统一的盐，两个用户密码一样的时候，hash也会一样，暴力破解只需要一套就行了，保留破解结果，可以直接查表了

不同的盐，要对每个用户进行暴力破解

2015-05-27 14:02:05 +08:00

回复了 aladd 创建的主题 › 云计算 › 冥冥之中感觉到了总理的呼唤。又拍云果然降价了。

@mingxing

@oneoo

几天前刚刚冲钱的咋办。。。

2015-05-27 13:43:15 +08:00

回复了 cjyang1128 创建的主题 › 程序员 › 保研了又后悔了，求各位前辈提一些建议

@cjyang1128 到哪都有这种人，自己不努力怪环境不好。

2015-05-27 13:42:04 +08:00

回复了 jookr 创建的主题 › MySQL › mysql 能否一句 sql 验证加盐的密码？

@dallaslu
hmac和普通的password|salt的区别在于，
普通的拼接，其实只是增加了hash前的password长度。

如果用的是 password|salt，那么 password =abc, salt = def 和 password = abcd 和 salt = ef 是没有去别的

@zhicheng
PBKDF2的本质就是
一遍一遍一遍的执行hmac，执行几千几万遍，

2015-05-27 12:27:25 +08:00

回复了 jookr 创建的主题 › MySQL › mysql 能否一句 sql 验证加盐的密码？

@hgc81538 bcrypt不错，但是这样的话，登录的接口要加防护，不然很容易被攻击。

2015-05-27 12:17:14 +08:00

回复了 cjyang1128 创建的主题 › 程序员 › 保研了又后悔了，求各位前辈提一些建议

@incompatible

+1

本科出去互联网实习的时候，好多人这么和我说，如果有机会去读研还是去。

工作机会一大把，但是读书就这一个机会。

然后我很庆幸当初选择保研，学到了一直想学但是下不了决心学的一些东西。

2015-05-27 12:15:31 +08:00

回复了 glasslion 创建的主题 › Python › 貌似所有的 PyPI 镜像停止更新了

https://pypi.mirrors.opencas.cn/
试试看中科院的呗。

2015-05-27 12:00:05 +08:00

回复了 jookr 创建的主题 › MySQL › mysql 能否一句 sql 验证加盐的密码？

@dallaslu 计算hash的时候用hmac，不要拼接，和客户端无关

2015-05-27 11:14:14 +08:00

回复了 jookr 创建的主题 › MySQL › mysql 能否一句 sql 验证加盐的密码？

@dallaslu 不要直接拼接hash，请使用业界标准hmac
@jiongjionger

2015-05-27 10:02:26 +08:00

回复了 jookr 创建的主题 › MySQL › mysql 能否一句 sql 验证加盐的密码？

@BuilderQiu
@ven
salt的作用在于阻止一次多密，防止直接通过彩虹表进行爆破，但是阻止不了暴力破解。

不同的用户如果使用相同的密码，但是salt不一样了，hash的结果是不一样的。
所以有了salt以后，对每个用户要单独进行破解，

当然，如果觉得不安全，可以用RSA或者ECC，使用公钥加密或者私钥签名都可以。

@jookr
再提醒一下，直接把pass和salt进行拼接是非常非常不安全的做法，salt的正确做法请使用 hmac

2015-05-27 09:45:27 +08:00

回复了 jookr 创建的主题 › MySQL › mysql 能否一句 sql 验证加盐的密码？

1 根据 username查出记录
2 读取salt
3 加密
4 判断password是否一致

只需要一次读取啊。

你的步骤3完全没必要啊

2015-05-27 09:33:34 +08:00

回复了 iqav 创建的主题 › 问与答 › 公司上下人数 800 余，最近 IT 部门下达卸载 Office 通知

@clino 网站里没有，得联系他们

2015-05-26 22:16:33 +08:00

回复了 WildCat 创建的主题 › 问与答 › 现在 Android App 还需要兼容 2.3 吗？企业内部一个小 ERP 的 Android App，有没有必要做 2.3 兼容？

@chengzhoukun
关键是内部的ERP。。。不像对外的APP那样，你手机差我们就不支持了，，，

2015-05-26 22:09:35 +08:00

回复了 WildCat 创建的主题 › 问与答 › 现在 Android App 还需要兼容 2.3 吗？企业内部一个小 ERP 的 Android App，有没有必要做 2.3 兼容？

@chengzhoukun
那个是访问google play统计出来的，
国内大部分手机都是没有Google play的