什么样的安全性能使密码和用户名只能通过单一密码登录?单一密码与密码和用户名
如果用户名必须是唯一的,那么其他用户就不能有一个用户名和用户可以映射到使用该ID的用户帐户。当攻击者蛮横攻击用户名和密码时,它与攻击者一样会对单一密码进行暴力破解。但使用单一密码攻击者可以尝试访问所有具有相同密码暴力强制的帐户。
在您登录到应用程序之后,您的会话将通过单个密码进行验证,该密码是会话ID。因此,攻击者可以尝试通过强制会话ID登录到所有帐户。当然,会话ID通常很长,因此很难暴力破解。
如果应用程序自动生成的密码令牌,然后总是把什么映射到特定的用户唯一的前缀(前缀长度存储在数据库中)的密码是什么。因此,密码实际上是用户名和密码的组合,但用户不知道?这种设置是否与用户名和密码系统具有相同的安全性?
我会投票将其迁移到security.stackexchange。com可能会得到更好的答案 - 但似乎没有这方面的选择。 (你可能会考虑在那里虽然:)) – jcoder