使用密码中的一些字母进行身份验证

Posted

技术标签:

【中文标题】使用密码中的一些字母进行身份验证【英文标题】:Authenticating by using some letters from the password 【发布时间】:2011-11-14 08:16:44 【问题描述】:

银行如何仅通过询问一些密码字母来验证用户身份。是否意味着这些单个单词的哈希值存储在数据库中,如果是,那么它不会使其非常容易破解这些密码。你能告诉我他们是如何做到的吗?

谢谢

【问题讨论】:

【参考方案1】:

他们是否对这些信息进行哈希处理并不重要。这种处理方式是完全不安全的,并且使系统非常脆弱。所以,他们这样做的方式确实是“错误”的方式。

【讨论】:

但是,我怀疑他们的系统很弱。它是一家银行。 @Anush 然后,他们必须依赖其他一些方法,比如使用像 http 这样的安全通信。或者,他们必须只允许通过该系统进行非常小的交易。您所描述的方法本身很弱,非常弱,因为它减少了秘密的熵。银行确实会犯错误。攻击很常见,有时它们只能从错误中学习。 错字:我的意思是 https,不是 http。

以上是关于使用密码中的一些字母进行身份验证的主要内容,如果未能解决你的问题,请参考以下文章

使用现有数据库表中的用户名和密码在 Blazor 中进行身份验证?

KeyCloak 中的自定义提供程序,可以根据用户名和密码进行身份验证

使用 JSON 进行基本身份验证

可以使用设备密码对 iOS 应用程序的用户进行身份验证吗?

仅针对特定用户的 SSH 身份验证绕过密码身份验证

如何在不将密码保存在数据库中的情况下验证用户身份