使用用户名和密码登录相对于仅使用单个密码的登录有哪些安全优势?
如果要求用户名必须唯一,则其他用户无法拥有该用户名,用户可以映射到具有该ID的用户帐户。当攻击者针对用户名和密码进行暴力破解时,与攻击者针对单个密码进行暴力破解相同。但使用单个密码,攻击者可以尝试通过暴力破解所有具有相同密码的帐户。
在登录到应用程序后,您的会话使用单个密码进行身份验证,即会话ID。因此,攻击者可以尝试通过暴力破解会话ID来登录到所有帐户。当然,会话ID通常非常长,因此很难进行暴力破解。
如果应用程序自动生成密码令牌,并始终添加唯一前缀(前缀长度存储在数据库中)以映射到特定用户的密码,那么怎么样呢?这样的密码实际上是用户名和密码的组合,但用户并不知道?这种设置是否具有与用户名和密码系统相同的安全性?