如何检查用户新密码是否重复使用最近5次密码?
在做密码修改功能时,需要实现”新密码不能与最近5次历史密码重复”的校验,但具体该怎么存储和比对呢?
我尝试在用户表里加了个password_history字段存JSON数组,比如这样:[ "123456", "abc123" ],但发现直接存密码明文太不安全了。后来改成存bcrypt哈希值,但比较的时候发现新密码和旧哈希比对失败…
现在卡在两点:一是如何安全存储密码历史,二是如何高效判断新密码是否在历史记录里。试过在后端每次修改时先查询历史哈希数组,再循环bcrypt.compare,但感觉这样效率会不会太低?有没有更好的实现方案?
- 1
回答
17浏览
如何在前端实现用户不能重复使用最近3次密码的验证?
在做用户密码修改功能时,需要限制用户不能重复使用最近3次的密码。我用Vue写了表单验证,但不知道该怎么存储和比对历史密码: <template> <form @submit.prev...
- 2
回答
7浏览
GitLab CI/CD管道如何在部署前检查依赖版本是否存在漏洞?
在配置GitLab CI/CD部署Node.js项目时,我想在部署前自动检查npm包是否存在已知安全漏洞。试过在.gitlab-ci.yml里加npm audit命令,但发现有些依赖是通过packag...
- 1
回答
69浏览
前端用MD5加密密码是否安全?有没有更好的加密方式?
最近在做用户注册功能时,密码加密这块有点困惑。我之前用crypto-js把密码转成MD5再存到后端,但同事说MD5早就被破解了,这样存密码不安全,但我也不太明白具体哪里有问题。 尝试改用bcrypt时...
- 2
回答
57浏览
密码管理器如何防止跨站点凭证填充攻击?
最近在开发自己的密码管理器,发现用户用浏览器自动填充密码时,担心跨站点凭证填充攻击怎么办? 试过给输入框加上autocomplete="new-password",但好像没用……后来查资料说要结合HI...
- 2
回答
59浏览
用户组权限控制如何避免重复权限导致混乱?
我现在在做用户权限控制,用用户组来管理权限,但发现不同用户组可能会有重复的权限项。比如用户同时属于管理员组和编辑组,两个组都有"delete_post"权限,合并权限时该怎么处理才不会重复? 我尝试用...
- 2
回答
23浏览
ESLint插件如何自定义规则来检测特定代码模式?
最近在尝试通过ESLint插件来自定义一条规则,目的是检查项目中是否有直接使用了`alert()`函数的情况。我按照文档开始编写自己的规则,但是遇到了一些麻烦。 module.exports = { ...
- 1
回答
16浏览
PBKDF2在前端实现时,如何避免直接暴露salt值?
最近在做用户注册功能时,想用PBKDF2加密密码。我用crypto-js库写了这样的代码: <form onsubmit="hashPassword()"> <i...
- 2
回答
16浏览
密码长度要求8位是否足够?有没有更好的方案?
最近在开发注册页面的密码验证功能,后端要求密码最低8位,但我在网上看到很多专家建议至少12位。如果只设置8位会不会太容易被破解? 我试过用正则表达式限制长度:#password-strength { ...
- 1
回答
28浏览
在Sequelize中使用findOrCreate时如何防止SQL注入?
最近在用Sequelize做用户注册功能时,发现直接拼接查询条件可能会有SQL注入风险。比如这样写: User.findOrCreate({ where: { username: req.body.u...
- 2
回答
25浏览
rem和em在移动端响应式布局中如何配合使用?
最近在做移动端适配时发现一个问题,当同时使用rem和em时,字体大小总是忽大忽小。比如设置了html{font-size:16px},然后用em的子元素又套了rem,结果在iPhone12上显示正常,...
我的建议是这样:首先在用户表里加一个字段,比如叫password_history,用来存最近5次密码的bcrypt哈希值,格式可以是JSON数组。每次用户修改密码的时候,先把新密码用bcrypt.hash生成哈希值,然后挨个用bcrypt.compare去比对历史记录里的每个哈希值。如果发现匹配上了,就直接返回错误提示,告诉用户不能重复使用旧密码。
为了提高效率,你可以限制历史密码的数量,比如固定只存最近5个,超过的部分自动移除最早的记录。另外,bcrypt本身的设计就是为了防止暴力破解,所以它的性能损耗是不可避免的,但比起安全来说这点损耗还是值得的。
如果你觉得后端循环bcrypt.compare太慢,也可以考虑在高并发场景下做个队列处理,异步校验密码历史,不过这是更复杂的情况了,一般项目其实没必要搞这么复杂。
顺便吐槽一句,用户总是喜欢用简单密码或者反复用旧密码,真是让人头大。你可以在前端加个密码强度校验,提前拦住那些弱密码,省得后端白忙活。JS里面可以用一些现成的库,比如zxcvbn,来检测密码强度,用户体验也会好一点。
最后提醒一下,千万别想着存明文密码或者可逆加密,这种操作分分钟被安全部门盯上,到时候背锅的还是咱们开发者。
bcrypt.compare去循环比对确实有点低效。这里给你一个更安全也更高效的实现思路:1. **存储方式**:在数据库里加个
password_histories字段(JSON数组),但不要存完整的哈希值,而是存bcrypt的盐和哈希后的结果的摘要(比如用SHA-256再加密一次)。这样即使数据泄露,攻击者也无法直接拿到 bcrypt 的原始哈希值。2. **比对逻辑**:新密码输入后,先用同样的
SHA-256算法生成摘要,然后跟历史记录里的摘要逐一比对。如果发现匹配,就提示用户不能使用重复密码。3. **优化性能**:为了避免每次都查 5 次历史记录,可以限制历史记录只保存最近 5 条,并且用索引优化查询。另外,可以用
Promise.all并行处理比对逻辑,减少耗时。以下是后端实现的一个简单示例(Node.js + bcrypt + crypto):
这样做既保证了安全性,又避免了频繁调用
bcrypt.compare的性能问题。当然,如果你的用户量特别大,还可以考虑把密码历史单独存到 Redis 这种内存数据库里,进一步提升查询速度。