암호가 해시로 저장된 경우 암호를 재설정하려고하면 컴퓨터가 마지막 암호와 비슷한 것을 어떻게 알 수 있습니까? 하나는 해시되어 되돌릴 수 없기 때문에 두 암호가 완전히 다르지 않습니까?
암호가 해시로 저장된 경우 암호를 재설정하려고하면 컴퓨터가 마지막 암호와 비슷한 것을 어떻게 알 수 있습니까? 하나는 해시되어 되돌릴 수 없기 때문에 두 암호가 완전히 다르지 않습니까?
답변:
이를 구현하는 한 가지 방법은 비밀번호를 재설정하면 일반적으로 이전 비밀번호도 입력하라는 요청입니다. 해당 상황에서 일반 텍스트 형식의 두 비밀번호가 있으므로 해당 상황에서 일반 문자열 유사성 비교를 사용하면됩니다.
이를 구현하는 또 다른 방법은 암호를 정규화하는 것입니다. 예를 들어 악센트 문자는 가장 가까운 영어 알파벳으로 정규화되고 텍스트를 음성으로 전사하거나 숫자를 제거하는 등 암호로 생성 된 여러 버전의 해시를 미리 계산합니다. 다른 방식으로 표준화되었습니다. 이는 지정되지 않은 양만큼 해싱 메커니즘을 약화시킵니다. 나는 이것이 보안 모범 사례라고 생각하지 않을 것입니다.
간단한 대답은 보안 시스템이 서로 비슷한 지 알 수 없다는 것입니다.
그러나 일부 시스템은 새로운 암호가 오래된 암호 또는 이와 유사한 암호가되는 것을 방지하기 위해 특정 암호의 보안을 의도적으로 줄입니다. 비용 편익의 상충 관계는 누군가가 유사성 정보로도 현재 암호를 악의적으로 크래킹하기 전에 새로운 암호를 작성한다는 것입니다.
일반적으로 이러한 각 기술은 비밀번호 보안을 저하시킵니다.
오래된 암호를 유지하면 해당 암호의 보안이 저하됩니다. 이러한 암호 중 하나라도 해독되면 현재 암호가 암호와 유사 할 가능성이 높으며 대부분의 사람들은 숫자 만 변경합니다.
썸네일 및 통계는 추측 및 해시를 시도하는 것보다 잘못된 비밀번호 추측을 더 빨리 제거 할 수 있습니다. 하드웨어 가속이 있더라도 해시, 특히 보안 해시가 계산 및 노력이 복잡하기 때문입니다. '확실히 아님'또는 '아마도'라고하는 간단한 계산은 이러한 추측을 대부분 제거 할 수 있지만, 모든 유사성 검사는 이전과 전혀 다른 완전히 새로운 암호를 사용하지 말고 유사한 암호를 사용하지 못하게하기위한 것입니다.
즉, 현재 / 이전 암호와 유사성을 나타내는 모든 사이트에주의하십시오. 새 비밀번호가 이전 비밀번호라고 말하지 않는 한.
암호가 해시로 저장된 경우 암호를 재설정하려고하면 컴퓨터가 마지막 암호와 비슷한 것을 어떻게 알 수 있습니까? 하나는 해시되어 되돌릴 수 없기 때문에 두 암호가 완전히 다르지 않습니까?
사용자가 입력 한 것과 비슷한 암호를 여러 개 생성하고 해시가 이전 암호와 일치하는지 확인하십시오.
또 다른 패턴은 시스템이 비밀번호의 일부 특성 서브 세트를 해시하고 새 비밀번호의 서브 세트가 이전 비밀번호와 일치하는지 확인하기 위해 해당 해시를 저장하는 것입니다. 예 : 비밀번호 : "Admin2018"& 서브 세트 : "Admin"= "Admin2019"를 다음과 같이 입력 할 수 없습니다. 새로운.