检索 Joomla 管理员密码不需要加盐字符串?
Retrieving Joomla Admin Password does not require salt string?
我正在调试忘记超级用户密码的 Joomla 站点。我找到的解决方案是登录数据库并将用户 table 中的 password 字段更改为:
d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199
这是 "secret" 的哈希值。然而,到目前为止一切顺利,我认为散列函数获取密码并将其与其他内容(用户名或盐字符串或两者)连接起来,然后吐出散列码。令我惊讶的是,上述情况有效,因此可以断定 Joomla 仅对密码本身进行哈希处理而不向其添加任何其他内容是否安全?
因为你直接保存在数据库中,所以字符串实际上是 '' 所以不是没有盐,而是盐是一个空字符串。 Joomla 知道如何处理盐,而空字符串只是盐的一种特例,您应该只临时使用它以重新获得对您网站的访问权。最好使用 root 用户功能,因为它会发出一个大通知,提醒您撤消它。
我正在调试忘记超级用户密码的 Joomla 站点。我找到的解决方案是登录数据库并将用户 table 中的 password 字段更改为:
d2064d358136996bd22421584a7cb33e:trd7TvKHx6dMeoMmBVxYmg0vuXEA4199
这是 "secret" 的哈希值。然而,到目前为止一切顺利,我认为散列函数获取密码并将其与其他内容(用户名或盐字符串或两者)连接起来,然后吐出散列码。令我惊讶的是,上述情况有效,因此可以断定 Joomla 仅对密码本身进行哈希处理而不向其添加任何其他内容是否安全?
因为你直接保存在数据库中,所以字符串实际上是 '' 所以不是没有盐,而是盐是一个空字符串。 Joomla 知道如何处理盐,而空字符串只是盐的一种特例,您应该只临时使用它以重新获得对您网站的访问权。最好使用 root 用户功能,因为它会发出一个大通知,提醒您撤消它。