密码安全
本话题发布密码安全相关的问答文章和技术分享,将持续更新,为您推荐了14篇问答,访问即可查看更多精彩内容。
-
2
回答
22浏览
前端注册时怎么处理密码盐值才安全?
我最近在做用户注册功能,看到后端同事说密码要加盐哈希,但我搞不清盐值到底该谁生成、怎么传。我在前端直接生成随机盐拼到密码里再发过去,这样行不行?会不会有安全隐患? 比如我现在是这么做的: <fo...
-
1
回答
34浏览
前端登录页如何防止暴力破解?
我最近在用 Vue 做一个后台登录页面,担心有人用脚本反复试密码。现在只做了简单的表单校验,但不知道怎么加防暴力破解的机制,比如输错几次就锁定或者加验证码? 试过在前端计数错误次数,但发现刷新页面就清...
-
1
回答
26浏览
前端怎么校验密码复杂度才安全?
我在做用户注册页的密码校验,想确保密码包含大小写字母、数字和特殊字符,但不确定只在前端用正则判断够不够。万一用户绕过前端直接发请求怎么办? 现在用的是 Vue 的 watch 监听密码输入,代码大概这...
-
1
回答
34浏览
前端怎么校验密码强度才靠谱?
我在做用户注册页,想加个密码强度提示,但不确定怎么判断才算安全。试过只看长度,但用户输12345678也能过,这显然不行。 现在想结合大小写字母、数字和特殊字符,但不知道规则怎么定。比如下面这个正则:...
-
2
回答
37浏览
前端能用 PBKDF2 加密密码吗?
我在做登录功能,想在前端对用户密码加个 PBKDF2 哈希再传给后端,但不确定这到底安不安全。 试了下用 Web Crypto API,代码跑是能跑,但感觉好像没啥意义?因为如果攻击者拿到哈希值,直接...
-
2
回答
48浏览
前端加盐哈希密码真的安全吗?
我最近在做一个登录页面,想在前端对用户密码加盐再哈希,但不确定这样是不是真的安全。听说盐值不能硬编码,可如果每次随机生成,后端怎么验证呢? 我试了用 crypto-js 库,代码大概这样: const...
-
2
回答
49浏览
React密码强度验证如何有效检测特殊字符?
我在做一个密码强度验证的React组件,要求密码必须包含至少一个特殊字符。写了正则表达式检测,但检测总是失败,明明输入了@符号也没反应,哪里出问题了? 这是我的表单处理代码,用了onChange实时验...
-
2
回答
68浏览
密码长度要求8位是否足够?有没有更好的方案?
最近在开发注册页面的密码验证功能,后端要求密码最低8位,但我在网上看到很多专家建议至少12位。如果只设置8位会不会太容易被破解? 我试过用正则表达式限制长度:#password-strength { ...
-
2
回答
64浏览
PBKDF2在JavaScript中实现时迭代次数太少导致警告怎么办?
在用Web Crypto API实现密码加盐时,我按照教程设置了PBKDF2的迭代次数为1000次,但Chrome控制台报了安全警告,说迭代次数过低。尝试改成10000次后,生成密钥的延迟明显变长,用...
-
2
回答
70浏览
PBKDF2导出密钥时,为什么盐值不同却得到相同密钥?
我在用Web Crypto API实现PBKDF2加密密码时遇到奇怪问题:exportKey('raw')导出的密钥,即使每次生成不同的盐值,最终得到的密钥二进制内容却完全一样? 我按照规范写了这样的...
-
2
回答
66浏览
如何在前端实现用户不能重复使用最近3次密码的验证?
在做用户密码修改功能时,需要限制用户不能重复使用最近3次的密码。我用Vue写了表单验证,但不知道该怎么存储和比对历史密码: <template> <form @submit.prev...
-
2
回答
83浏览
密码复杂度规则挡不住字典攻击怎么办?
我在做登录功能时发现,即使设置了必须包含大小写字母+数字+特殊字符的密码规则,测试时用现成的字典词库还是能暴力破解成功。尝试过限制登录次数,但前端用setTimeout延迟验证反而让攻击变慢了。该怎么...
-
2
回答
54浏览
Scrypt参数选择不当导致密码验证失败怎么办?
我在用scrypt加密用户密码时,调整了salt长度和N参数,结果密码验证一直报错。之前用默认参数没问题,但参考文档把N设成16384后,存储的hash和验证时算出来的值完全不一样。 尝试过把r和p参...
-
2
回答
69浏览
为什么Vue中使用bcrypt比较密码总是返回false?
我在Vue项目里用bcrypt加密用户密码,注册时能正常存储哈希值,但登录验证时用bcrypt.compare始终返回false。比如用户输入正确密码,直接对比数据库里的哈希值就不对,这是为什么? 代...
