Я использую плагин gsoap wsseapi и хотел бы хранить хешированные пароли sha1, а не обычный текст. Я потратил невероятное количество времени, экспериментируя с различными методами хеширования простого текстового пароля для хранения.
Может ли кто-нибудь предложить способ хэширования пароля, чтобы его можно было позже проверить по дайджесту токена имени пользователя, отправленному клиентом?
Кажется, я не могу получить пароль клиента для аутентификации по моему сохраненному хэшу.
Не сворачивайте свою собственную криптовалюту; используйте хорошо известную и принятую сообществом схему, такую как PBES2 (как указано в PKCS#5 v2.1). Если вам повезет, вы найдете его готовую реализацию (подсказка: OpenSSL, вероятно, делает).
не хранить текстовые пароли — это хорошо. выбор хэша, который был разработан для очень быстрого расчета, не так уж и умен. узнайте больше о «получении ключа» на http://www.tarsnap.com/scrypt.html. в основном это замедляет «вычисление хешированного пароля» НАМНОГО, так что злоумышленник замедляется в своих попытках использовать грубую силу.
Кажется, что пароль в виде простого текста требуется с обеих сторон. Это связано с тем, что на сервере сохраненный пароль хэшируется с использованием одноразового номера, созданного на стороне клиента, а затем сравниваются хэши паролей.
Я подумал, что, возможно, у клиента был способ ввести обычный буквенно-цифровой пароль, а сервер мог получить предварительно сохраненную хешированную версию того же пароля для сравнения. Кажется, это невозможно из-за одноразового номера, метки времени и т. д.
