菜农认为网站数据库应该存储的注册信息

问题描述

正在研究HotWC3的碰撞问题,因为任何哈希函数存在着碰撞问题,例如王晓云教授研究MD5碰撞的成果。但是论坛或邮箱都可以用验证码来阻止穷举散列数的频率,输入密码错误次数锁定并发送绑定邮箱或绑定手机通知用户。这些都可以防范。但是存储散列值应该说比存储密文密码要安全的多,但单向散列函数故有的碰撞特性任何人都无法回避。为了在输入流中隐含更多的各方信息,例如散列数中同时隐含了用户和网站各自的信息例如:用户持有:用户名和用户密码网站持有:用户名和网站特定码和散列值。其中:散列值=哈希函数(用户名,用户密码,网站特定码)这样做后,用户或网站都必须同时知道对方的信息而且要知道算法。这样将降低碰撞的概率,逼迫其在知道用户名和网站特定码及算法的前提下攻击用户密码。由于论坛或邮箱登陆输入信息是以流的方式出现,故可以再附加用户密码的长度信息。由于散列函数碰撞可以用短密码长度得到同样的散列值,故测试用户密码注册长度也是一种安全机制。但同时又告诉了黑客重要的信息。用户持有:用户名和用户密码网站持有:用户名及用户密码注册长度和网站特定码和散列值。其中:散列值=哈希函数(用户名,用户密码,用户密码注册长度,网站特定码)为了解决密码找回问题,故网站数据库应该存储下列信息(字段):引用

1.用户名2.用户密码注册长度3.网站特定码4.散列值5.绑定邮箱6.绑定手机7.密码找回提问(是个漏洞,可以考虑废除)

[email=HotPower@126.com]HotPower@126.com[/email]2011.12.26菜农在忽略安全的发源地开战【已被CSDN咔嚓】:HotWC3密码体系验证三个链接地址:即日起开通:群课记录(内含水妹妹学习密码为写情书):HotWC3网上单向散列函数验证:[attachimg]90853[/attachimg].用户手持:用户名:,用户密码:250网站掌握:网站特定码:用户名:用户名注册长度:3散列数:8917DEF303D5B0E3用户名注册长度相当重要,虽然间接地告诉了黑客用户密码的长度,但是同时增大了碰撞的难度。这样迫使黑客只能用同样长度的字符或数字来制造碰撞即伪造。

解决方案

本帖最后由 HotWC3 于 2011-12-26 09:19:24 编辑
解决方案二:
.
解决方案三:
晕,俺在CSDN权限不够,贴图不了。详见:

时间: 2024-09-22 03:48:37

菜农认为网站数据库应该存储的注册信息的相关文章

数据库中存储大量图片设计

1.图像的存储策略 在数据库的 开发过程中,经常需要在数据库中存储一些备注信息,而这些备注信息的内容一般较大,格式多样-如有可能是语音文件.视频文件.图片文件.文本文件等,怎样 实现这些格式不同的备注文件的存取及预览,一直是开发人员比较关心的一个问题,本文系统的介绍了三种存取备注二进制信息的方法. 对备注二进制信息的存储可以采用以下三种方式: 方法一:文件保存在固定的路径下,数据库中存取文件路径和名称 方法二:数据库中用blob类型或者varbinary类型字段存储备注文件 方法三:在本地用Po

ICANN:注册信息不实的域名可被注销

新华网北京3月19日专电(记者 周文林)手机.网络实名制的问题近期一直受到业内外的关注.域名作为互联网的访问入口,是网络实名制的重要组成部分.业内专家表示,广大域名持有者必须对域名注册信息予以高度重视,提供不实注册信息将有可能导致域名被注销的风险. 记者从国际互联网名称与数字地址分配机构(ICANN)的官方网站了解到,域名注册信息(即WHOIS信息)主要包括:域名名称.注册时间.到期时间.域名持有者联系信息.技术联系人信息和管理联系人信息等诸多身份信息. 相关专家表示,根据ICANN的有关规定,

网站上传的图片是怎么在数据库中存储的

问题描述 网站上传的图片是怎么在数据库中存储的,要是存在数据库中是不是增加数据库的负担,读写效率方面也不高?要是数据库只存放路径,图片存在web服务器文件夹里安全吗?QQ空间照片是怎么存储的?像百度文库doc.txt.pdf文件又是怎么存储的呢 解决方案 1.存到数据库里面,就是对图片数据进行序列化,可以保存到数据库里面2.存库和存硬盘的效率应该是差不多的,如果图片不多,存在库里面和存在硬盘上都一样,如果内容多了存在数据库里面会不方便,对于备份.恢复等操作不太方便3.图片存在web文件夹里面安全

存储-问卷调查类网站数据库怎么设计?

问题描述 问卷调查类网站数据库怎么设计? 各位大神,我想做个网站,里面包含问卷调查类似的功能,用户可以自定义问卷调查或表格收集信息.[问题是]每个用户自定义的信息不一样,如:用户自定义的表的列数和列名均不相同,这怎么怎么设计数据库中的表啊?总不可能让我为每个用户自定义的表或问卷在数据库中动态生成一张与之对应的新表吧???哪位大神给个思路,在这先谢谢了! 解决方案 额,楼主,我也曾经想过做这样一个东西,这个跟试卷系统基本一致的,后来没做了,不过数据库设计的思路可以给你参考下.1.设计调研问卷的基本

关于图片或者文件在数据库的存储方式归纳

商品图片,用户上传的头像,其他方面的图片.目前业界存储图片有两种做法: 1.  把图片直接以二进制形式存储在数据库中 一般数据库提供一个二进制字段来存储二进制数据.比如mysql中有个blob字段.oracle数据库中是blob或bfile类型   2.  图片存储在磁盘上,数据库字段中保存的是图片的路径.   一.图片以二进制形式直接存储在数据库中   第一种存储实现(php语言): 大体思路: 1.将读取到的图片用php程序转化成二进制形式.再结合insert into 语句插入数据表中的b

服务器-想QQ音乐,网易云音乐这种大型网站是如何存储音频文件的?

问题描述 想QQ音乐,网易云音乐这种大型网站是如何存储音频文件的? 他们会把音频文件存储在数据库中,还是存储在服务器的硬盘中? 数据库里面有个CLOB字段可以存储很多数据,如果放到数据库中是否比存到硬盘中读取速度要快? 解决方案 放在数据库中肯定更慢.大型网站用分布式文件系统,比如HDFS Hadoop MapReduce GFS等等 解决方案二: 和你自己电脑的硬盘目录差不多呀,分类

加密-如何能够知道网站是明文存储还是密文存储密码

问题描述 如何能够知道网站是明文存储还是密文存储密码 比如我知道南通长途汽车站就是明文存储的,有些网站登录的时候,登录瞬间能看到密文变成,估计是被hash然后才上传的.如何能够有效地判断一个网站是不是被加密后储存密码的呢? 解决方案 除非能接触到网站的数据库或者程序代码,否则没法知道.如何接触到数据库和程序代码,那需要用非正常的手段. 解决方案二: 客户端只能看到是明文还是密文传输的,至于是如何存储的,就没办法知道了.除非有源码或暴库. 解决方案三: 一般都是密文存储,如果MD5加密了,是不可程

基于分布式数据库的存储和hadoop的分布式计算的分布式sql计算方法

    1.  目录 2.      目录... 1 3.      背景和设计思想... 3 4.      架构... 3 没有代理节点... 4 有代理节点... 4 模块说明... 5 两种架构的区别... 5 5.      应用架构... 5 6.      基本概念说明... 6 7.      增删改操作... 6 8.      查询操作... 7 阶段树... 7 阶段... 7 查询步骤... 8 9.      例子... 8 均衡策略... 8 查询... 10 9..

使用HBase Client访问阿里云NoSQL数据库表格存储

Apache HBase Apache HBase是Hadoop database,属于Hadoop生态系统. 自从十四年前Google相继发布论文:<The Google File System>.<MapReduce: Simplified Data Processing on Large Clusters>和<Bigtable: A Distributed Storage System for Structured Data>后,开源界开始模仿论文设计开源版本的这