내 의견으로는, 암호를 잊어 버리는 것과 같은 것이 아니더라도 프론트 엔드가 전혀 필요하지 않으며 암호를 얻는 침입자에 대한 정보를 제공한다는 것입니다! 즉, 공격자가 해당 정보를 얻는다면 가능한 모든 암호 조합을 해당 소금과 연결하거나 (또는 해당 암호로 암호 사전을 해싱하여) 철저한 검색이 필요하지만 오프라인으로 사용할 수있는 자원을 제공하고 있음을 의미합니다. 공격하고, 이제 그는 그가 지루해지기 전까지는 원하는만큼의 다른 암호를 시도하거나 실제 암호를 얻습니다.
다른 사람이 다른 암호로 인증하려고 시도하는 공격자와 같다고 생각할 수도 있지만, 가장 큰 차이점은 온라인 공격에서 로그인 시도 횟수를 제한 할 수 있으므로 해당 공격을 차단할 수 없다는 것입니다. 그는 원하는만큼 시도 할 수 있지만 오프라인 공격에서는 원하는만큼 암호를 시도 할 수 있습니다.
이 모든 것이 전체 개체 대신 부울을 보내는 것으로 피할 수 있으며 거대한 리팩터링이 필요하지 않은 것처럼 고정되어 있어야한다고 생각합니다. 또한 그가 최악의 시나리오에서 정보를 사용하여 무엇을하는지 살펴 봅니다. 암호를 해시를 검색하여 쿠키 또는 로컬 저장소에 저장하여 사용자를 계속 인증합니다.
"암호화 된 비밀번호"가 무슨 의미인지는 분명하지 않습니다. 해시 된 (또는 확장 될 수있는) 비밀번호를 의미합니까? 또는 실제로 키로 암호화되어 있습니까? 암호를 다시 일반 텍스트로 해독 할 수 있습니까? –
@RobNapier 안녕하세요. Rob. 암호화 된 암호로 해시 (암호 + 소금) = 해시 된 결과를 의미합니다. – aero