รหัสผ่านที่แฮชใช้สำหรับการเข้ารหัสและการตรวจสอบผู้ใช้ในเวลาเดียวกัน

simbr

14/2/23 07:16

เนื่องจากฉันค่อนข้างใหม่สำหรับการเข้ารหัส ฉันจึงอยากจะเข้าใจวิธีง่ายๆ ในการนำระบบไปใช้เพื่อให้ได้สิ่งต่อไปนี้: ผู้ใช้จะต้องตั้งค่ารหัสผ่าน ซึ่งจะใช้เพื่อ:

1.) เข้ารหัสข้อมูลที่ผู้ใช้ให้มาและบันทึกในรูปแบบเข้ารหัส และ 2.) เพื่อตรวจสอบผู้ใช้เมื่อใช้ระบบในครั้งต่อไปและถอดรหัสข้อมูลของเขา

เมื่อค้นหาวิธีแก้ปัญหาที่ได้ผล ฉันพบสองแนวทางต่อไปนี้:

ก.) รหัสผ่านถูกแฮชและแฮชจะถูกใช้เพื่อรับรองความถูกต้องของผู้ใช้ในภายหลัง การรวมกันของรหัสผ่านข้อความล้วนและแฮชถูกใช้เพื่อสร้างคีย์สำหรับการเข้ารหัสและถอดรหัส

ข.) รหัสผ่านถูกแฮชและคีย์ได้มาจากแฮชเพื่อเข้ารหัสข้อมูล การตรวจสอบความถูกต้องจะแก้ไขได้โดยการเปรียบเทียบข้อความธรรมดาที่ทราบบางส่วนกับส่วนหนึ่งของข้อมูลที่ถอดรหัส หากตรงกันแสดงว่าผู้ใช้ป้อนรหัสผ่านที่ถูกต้อง

ฉันจะขอบคุณสำหรับคำอธิบายที่เรียบง่ายและชัดเจน

ฉันจะขอบคุณสำหรับการอ้างอิงใด ๆ ในหัวข้อเฉพาะนี้

0 + 0

รหัสผ่าน

การเข้ารหัสด้วยรหัสผ่าน

แฮชรหัสผ่าน

kelalaka

14/2/23 07:29

คุณเห็นทั้งสองที่ไหน ไม่ใช่แนวทางที่ดีเนื่องจากผู้ใช้อาจต้องการเปลี่ยนรหัสผ่าน คุณสร้างคีย์เข้ารหัสแบบสุ่มต่อไฟล์ และเข้ารหัสคีย์ด้วยคีย์เข้ารหัสคีย์ที่สร้างจากรหัสผ่าน เช่น PBKDFDF2 หรือ Argon2id ที่ดีกว่า คุณสามารถดู[รายละเอียดเพิ่มเติมที่นี่](https://crypto.stackexchange.com/a/75022/18298) เมื่อไม่มีข้อมูล ไฟล์จะได้รับการปกป้องด้วยคีย์สุ่มและรหัสผ่านของคุณเท่านั้นที่สามารถเปิดได้ ขอแนะนำให้ใช้รหัสผ่านที่ดีเช่นจาก dicewire

ตอบกลับ

simbr

14/2/23 07:39

@kelalaka คุณช่วยอธิบายวิธีแก้ไขส่วนการตรวจสอบผู้ใช้ด้วยรหัสผ่านเดียวกันได้ไหม ขอขอบคุณ.

ตอบกลับ

kelalaka

14/2/23 07:44

เป็นเพียงการแฮชรหัสผ่านมาตรฐาน [วิธีแฮชรหัสผ่านอย่างปลอดภัย?](https://security.stackexchange.com/q/211/86735) คุณมีรหัสผ่านเดียวและแยกโดเมนด้วยเกลือและข้อมูล

ตอบกลับ

jjj

14/2/23 10:28

อย่าส่งทุกสิ่งที่จำเป็นสำหรับการถอดรหัสไปยังเซิร์ฟเวอร์ใด ๆ ให้ทำการถอดรหัสในเครื่อง มิฉะนั้นเซิร์ฟเวอร์ที่ถูกบุกรุกสามารถสกัดกั้นและถอดรหัสทุกอย่างได้

ตอบกลับ

Kulap

คำถามนี้เป็นภาษาอื่นๆ:

EN: Hashed password used for encryption and for user authentication at the same time

TH: รหัสผ่านที่แฮชใช้สำหรับการเข้ารหัสและการตรวจสอบผู้ใช้ในเวลาเดียวกัน

RO: Parola hashing folosită pentru criptare și pentru autentificarea utilizatorului în același timp

RU: Хешированный пароль, используемый для шифрования и аутентификации пользователя одновременно

VI: Mật khẩu băm được sử dụng để mã hóa và xác thực người dùng cùng một lúc

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา