{"version":"https://jsonfeed.org/version/1.1","title":"苏迟但到的主页","home_page_url":"https://kexohproject.pages.dev","feed_url":"https://kexohproject.pages.dev/json/","description":"<p>你好，欢迎访问个人主页！</p><p>擅长密码学，安全分析，数字水印等技术。</p><p>你可以联系我通过:findmykexin@gmail.com或者知乎私信。</p><p>我的知乎链接：<a href=\"https://www.zhihu.com/people/su-chi-dan-dao\" rel=\"noopener noreferrer\" target=\"_blank\">苏迟但到 - 知乎 (zhihu.com)</a></p><p>我的github链接：<a href=\"https://github.com/kexinoh\" rel=\"noopener noreferrer\" target=\"_blank\">kexinoh</a></p>","icon":"https://kexohcdn.gptapi.cyou/kexohproject/production/images/channel-2e54d141ee195646ca12a9d16507a908.jpg","favicon":"https://kexohcdn.gptapi.cyou/kexohproject/production/images/favicon-340a2925d02a0386f3b954a032834917.jpg","authors":[{"name":"苏迟但到"}],"language":"zh-cn","items":[{"id":"IagP9Kpei1l","title":"请问在一些系统中鉴别信息使用先MD5后AES的组合加密，这种做法从密码学的角度讲提高了保密性吗？","content_html":"<p data-pid=\"7UNBPuhn\">首先回答题目，提高了。</p><p data-pid=\"32syg3ka\">题主想要学习更多，可以选择了解两个名词叫做字典攻击和彩虹表。这里我们直接告诉你它们的作用是：都可以快速的将<b>常见密码</b>或者<b>较短密码</b>从散列值中恢复出来。</p><p data-pid=\"UUngicng\">而这个快速是有代价的，代价就是时间换空间，然后空间再换时间。</p><p data-pid=\"HdZR5vis\">首先需要生成一个常见的hash表（彩虹表），然后才能用来进一步破解密码。</p><p data-pid=\"t0tDZ-nv\">如果获取了AES密钥，但是通过AES加密之后就无法<b>提前</b>生成相应的hash表（彩虹表）,这样就可以有效的提高安全性，以及提高黑客的攻击成本。</p><p data-pid=\"oNBzjhwu\">而且当AES密钥没有泄露的前提下，建立相对应的hash表（彩虹表）是不可能的。</p><p data-pid=\"U0819-DJ\">与加盐相比，这个方案的重点是避免了sql注入攻击带来的脱裤的影响。</p><p data-pid=\"taWmLdyb\"><b>注意</b>：sql注入攻击带来的脱裤后的密码即使加盐之后，也无法抵御撞库攻击。撞库攻击是指通过同一个用户id，将一个已知用户密码在另外一个加密数据库中尝试碰撞出密码。</p><p data-pid=\"y1srMU_O\">当黑客没有掌握服务器本身（或者说没有拿到AES密钥的前提下），就无法完成撞库行为，自然也无法验证用户的密码是否相同。</p><p data-pid=\"wmDdkmpX\">综上所述，这是一个很不错的改进。</p>","content_text":"首先回答题目，提高了。\n\n题主想要学习更多，可以选择了解两个名词叫做字典攻击和彩虹表。这里我们直接告诉你它们的作用是：都可以快速的将常见密码或者较短密码从散列值中恢复出来。\n\n而这个快速是有代价的，代价就是时间换空间，然后空间再换时间。\n\n首先需要生成一个常见的hash表（彩虹表），然后才能用来进一步破解密码。\n\n如果获取了AES密钥，但是通过AES加密之后就无法提前生成相应的hash表（彩虹表）,这样就可以有效的提高安全性，以及提高黑客的攻击成本。\n\n而且当AES密钥没有泄露的前提下，建立相对应的hash表（彩虹表）是不可能的。\n\n与加盐相比，这个方案的重点是避免了sql注入攻击带来的脱裤的影响。\n\n注意：sql注入攻击带来的脱裤后的密码即使加盐之后，也无法抵御撞库攻击。撞库攻击是指通过同一个用户id，将一个已知用户密码在另外一个加密数据库中尝试碰撞出密码。\n\n当黑客没有掌握服务器本身（或者说没有拿到AES密钥的前提下），就无法完成撞库行为，自然也无法验证用户的密码是否相同。\n\n综上所述，这是一个很不错的改进。","date_published":"2022-10-12T16:34:30.000Z","_microfeed":{"web_url":"https://kexohproject.pages.dev/i/md5aes-IagP9Kpei1l/","json_url":"https://kexohproject.pages.dev/i/IagP9Kpei1l/json/","rss_url":"https://kexohproject.pages.dev/i/IagP9Kpei1l/rss/","guid":"IagP9Kpei1l","status":"published","itunes:title":"New Article Title for iTunes","date_published_short":"Wed Oct 12 2022","date_published_ms":1665592470000}}],"_microfeed":{"microfeed_version":"0.1.2","base_url":"https://kexohproject.pages.dev","categories":[{"name":"Education","categories":[{"name":"Language Learning"}]},{"name":"Technology"}],"subscribe_methods":[{"name":"RSS","type":"rss","url":"https://kexohproject.pages.dev/rss/","image":"https://kexohproject.pages.dev/assets/brands/subscribe/rss.png","enabled":true,"editable":false,"id":"4KlfbtkEfzy"},{"name":"JSON","type":"json","url":"https://kexohproject.pages.dev/json/","image":"https://kexohproject.pages.dev/assets/brands/subscribe/json.png","enabled":true,"editable":false,"id":"DVFm7TYiNSq"}],"description_text":"你好，欢迎访问个人主页！\n\n擅长密码学，安全分析，数字水印等技术。\n\n你可以联系我通过:findmykexin@gmail.com或者知乎私信。\n\n我的知乎链接：苏迟但到 - 知乎 (zhihu.com)\n\n我的github链接：kexinoh","copyright":"©2024","itunes:type":"episodic","items_sort_order":"newest_first"}}