打个比方:用户密码是钥匙,网站算法是钥匙套,钥匙套上有 网站标记、时间、编号等信息。
网站有10个钥匙套,用户登录时,随机指派一个钥匙套,在用户端封装用户的钥匙,再传给服务器。解码时先确认钥匙套,再取出钥匙开锁。
黑客从其他网站复制了用户钥匙,但没有放入本网站的钥匙套,所以通不过 。即使黑客知道了所有钥匙套,但不知道网站指派哪个,所以也没用。
这是针对撞库的方法
并不是加强密码本身,而是在信息传递机制上作文章。
打个比方:用户密码是钥匙,网站算法是钥匙套,钥匙套上有 网站标记、时间、编号等信息。
网站有10个钥匙套,用户登录时,随机指派一个钥匙套,在用户端封装用户的钥匙,再传给服务器。解码时先确认钥匙套,再取出钥匙开锁。
黑客从其他网站复制了用户钥匙,但没有放入本网站的钥匙套,所以通不过 。即使黑客知道了所有钥匙套,但不知道网站指派哪个,所以也没用。
这是针对撞库的方法
并不是加强密码本身,而是在信息传递机制上作文章。
