Passwords
使用 JavaScript 在 Sha512 中散列密碼是否安全?
我為我的幾個想要學習滲透測試基礎知識的朋友創建了一個競賽。在上述比賽中,有一個部分需要查看日誌文件以查找和送出標誌。因為我不希望玩家只是查看原始碼並獲取密碼,並且我不會混淆程式碼(我可以,我只是不想。不是出於懶惰,而是為了不混淆任何n00bs)。所以我所做的是在 SHA512 中使用不同的站點對密碼進行加密,並且如果您猜到密碼,它會在 SHA512 中對其進行加密並檢查它是否正確。JavaScript 的原始碼位於http://vulnerablesite.freecluster.eu/BoooogityBooogityBOOOO.js Entire WarGame(CTF 黑客挑戰賽 24/7):explorersite.freecluster。
這可能適用於遊戲,但絕不安全。使用 Scrypt 或 Argon2 作為安全密碼散列函式。SHA-512 是一個通用的雜湊函式,它非常快並且佔用很少的記憶體。對於密碼散列,您需要在時間和記憶體方面都具有可調整的性能(以減慢暴力破解速度)。您還需要為每個密碼設置一個唯一的鹽。在您的情況下,聽起來只有一個密碼,所以鹽的用處不大,但最好養成正確做事的習慣。