{"version":"https://jsonfeed.org/version/1.1","title":"苏迟但到的主页","home_page_url":"https://kexohproject.pages.dev","feed_url":"https://kexohproject.pages.dev/json/","description":"

你好,欢迎访问个人主页!

擅长密码学,安全分析,数字水印等技术。

你可以联系我通过:findmykexin@gmail.com或者知乎私信。

我的知乎链接:苏迟但到 - 知乎 (zhihu.com)

我的github链接:kexinoh

","icon":"https://kexohcdn.gptapi.cyou/kexohproject/production/images/channel-2e54d141ee195646ca12a9d16507a908.jpg","favicon":"https://kexohcdn.gptapi.cyou/kexohproject/production/images/favicon-340a2925d02a0386f3b954a032834917.jpg","authors":[{"name":"苏迟但到"}],"language":"zh-cn","items":[{"id":"qcJ3Ltmhsv4","title":"先对密码应用sha256,再用于aes256加密是否安全?","content_html":"

你要考虑你的应用场景。

第一个就是为什么要使用 用户密钥对用户数据进行加密?

先不讨论《网络安全法》之类的,这个操作很有可能是没有必要的。

正常情况下,应该是KDC统一分配密钥或者本地生成器生成充分随机的密钥。

我们往往只将用户密钥作为认证因素的一部分,而不会实际参与后续的加密。

第二个就是这么做很可能就是不安全的。

因为加盐或者使用慢哈希都是为了抵御彩虹表攻击,但是无法抵御字典和撞库攻击。

而历史告诉我们,用户设置的密码往往都很简单,可以设置为123456,就不会设置了1145141919810。

可以把两个应用密码设置为同一个,就不会设置为两个。

用户是很懒惰的,对于撞库和字典攻击的可能性你也要考虑清楚。

作为参考,例如腾讯云类似的云服务商,服务器ssh密钥都是平台提供给用户,如果需要使用,请自行复制密钥使用。而用户只有选择刷新的权利,没有自主决定的权利。

","content_text":"你要考虑你的应用场景。\n\n第一个就是为什么要使用 用户密钥对用户数据进行加密?\n\n先不讨论《网络安全法》之类的,这个操作很有可能是没有必要的。\n\n正常情况下,应该是KDC统一分配密钥或者本地生成器生成充分随机的密钥。\n\n我们往往只将用户密钥作为认证因素的一部分,而不会实际参与后续的加密。\n\n第二个就是这么做很可能就是不安全的。\n\n因为加盐或者使用慢哈希都是为了抵御彩虹表攻击,但是无法抵御字典和撞库攻击。\n\n而历史告诉我们,用户设置的密码往往都很简单,可以设置为123456,就不会设置了1145141919810。\n\n[https://pic2.zhimg.com/v2-fa6d3aef47f3af9dca40781314094c61_b.jpg][data:image/svg+xml;utf8,<svg\nxmlns='http://www.w3.org/2000/svg' width='522'\nheight='399'></svg>]\n\n可以把两个应用密码设置为同一个,就不会设置为两个。\n\n用户是很懒惰的,对于撞库和字典攻击的可能性你也要考虑清楚。\n\n作为参考,例如腾讯云类似的云服务商,服务器ssh密钥都是平台提供给用户,如果需要使用,请自行复制密钥使用。而用户只有选择刷新的权利,没有自主决定的权利。\n\n","date_published":"2023-10-24T05:42:18.000Z","_microfeed":{"web_url":"https://kexohproject.pages.dev/i/sha256aes256-qcJ3Ltmhsv4/","json_url":"https://kexohproject.pages.dev/i/qcJ3Ltmhsv4/json/","rss_url":"https://kexohproject.pages.dev/i/qcJ3Ltmhsv4/rss/","guid":"qcJ3Ltmhsv4","status":"published","itunes:title":"New Article Title for iTunes","date_published_short":"Tue Oct 24 2023","date_published_ms":1698126138000}}],"_microfeed":{"microfeed_version":"0.1.2","base_url":"https://kexohproject.pages.dev","categories":[{"name":"Education","categories":[{"name":"Language Learning"}]},{"name":"Technology"}],"subscribe_methods":[{"name":"RSS","type":"rss","url":"https://kexohproject.pages.dev/rss/","image":"https://kexohproject.pages.dev/assets/brands/subscribe/rss.png","enabled":true,"editable":false,"id":"4KlfbtkEfzy"},{"name":"JSON","type":"json","url":"https://kexohproject.pages.dev/json/","image":"https://kexohproject.pages.dev/assets/brands/subscribe/json.png","enabled":true,"editable":false,"id":"DVFm7TYiNSq"}],"description_text":"你好,欢迎访问个人主页!\n\n擅长密码学,安全分析,数字水印等技术。\n\n你可以联系我通过:findmykexin@gmail.com或者知乎私信。\n\n我的知乎链接:苏迟但到 - 知乎 (zhihu.com)\n\n我的github链接:kexinoh","copyright":"©2024","itunes:type":"episodic","items_sort_order":"newest_first"}}