Зачем нужен пароль?

Question

У меня есть включение и включение sql sql, мне интересно, зачем нужен пароль для соления, если нет доступа к серверу?

Как взломщик получит хешированный пароль с сервера php, если у него нет доступа к серверу? Нет локальной учетной записи на веб-сервере, Linux или Windows. И что, если у него есть веб-аккаунт на веб-сервере?

Мое мышление заключается в том, что хэшированный пароль никогда не видел взломщик, поскольку сравнение паролей происходит на веб-сервере, а не на клиентском компьютере. поэтому, если сервер защищен, взломщик не сможет получить доступ к своим или другим хэшированным паролям, не так ли?

Answer 1

, если нет доступа к серверу невозможно

Подключив каждую дыру в безопасности, вы можете найти не означает, что нет никаких отверстий безопасности осталось.

Вы не можете предположить, что доступ к серверу (и останется) невозможным.

Answer 2

Поскольку вы не можете быть уверены в отсутствии доступа к серверу или когда-либо, возможно, вы ошибаетесь. Как взломщик получит хешированный пароль с php-сервера? Ошибка, или эксплойт, или социальная инженерия, или какой-то парень, которого вы наняли, а затем уволили, а теперь он злится и чувствует, как утечка данных в базу данных в Интернет или что-то еще. Почему не соль ваши пароли?

Answer 3

Если вы не используете солевые пароли, вы рискуете, что хакер будет использовать таблицы Rainbow (http://en.wikipedia.org/wiki/Rainbow_table) и сделать грубую силу на вашем логине до тех пор, пока он/она не получит правильный пароль.

Answer 4

Предполагая, что вы на 100% недоступны, это плохое предположение. Хеширование ваших паролей - простая задача, поэтому я думаю, что лучший вопрос - почему НЕ делать это? Короче говоря, если OWASP рекомендует, вы должны это сделать. https://www.owasp.org/index.php/Password_Storage_Cheat_Sheet Вы не хотите вступать, как LinkedIn: http://queue.acm.org/detail.cfm?id=2254400