【发布时间】:2019-02-09 21:52:51
【问题描述】:
我有一个使用默认 asp.net 安全性来验证用户身份的网站和一个带有密码哈希和盐的表。是否可以将这些与 haveibeenpwned.com 数据库中的散列密码进行比较?
【问题讨论】:
【发布时间】:2019-02-09 21:52:51
【问题描述】:
不是真的。
您不能通过直接访问数据库来做到这一点,因为您需要明文字符串才能获得正确的哈希值来执行查找。
但您可以采用不同的方式来处理它 - 使用 the cracked corpora of the HIBP data from hashes.org 破解您现有的加盐哈希。不过,在大多数情况下,这通常是不可取的。
您还可以将其设置为在您手头已有明文的情况下进行检查 - 每当用户注册、登录和/或更改密码等时。前 X 个知名密码的一般黑名单通常是一个好主意 - 但我不建议将整个 5.12 亿个密码用作黑名单创建新密码,如果没有关于如何创建好的密码的重要额外 UX 指导(使用 Diceware 样式随机生成密码短语或存储在密码管理器中的随机生成的字符串等)
【讨论】: