为什么本文中的代码在比较哈希值的时候,都是经过固定的时间才返回结果?
转自http://blog.jobbole.com/61872/
让比较过程耗费固定的时间可以保证攻击者无法对一个在线系统使用计时攻击,以此获取密码的哈希值,然后进行本地破解工作。
比较两个字节序列(字符串)的标准做法是,从第一字节开始,每个字节逐一顺序比较。只要发现某字节不相同了,就可以立即返回“假”的结果。如果遍历整个字符串也没有找到不同的字节,那么两个字符串就是相同的
转载
2016-09-03 11:03:49 ·
469 阅读 ·
0 评论
关注
分享
扫一扫