密码是如何在AzerothCore中加密的？和Trinitycore一样吗？

Question

我正在尝试构建一个门户网站，它使用SOAP (3.3.5a)在、wow服务器、和门户之间进行通信。

AzerothCore使用什么加密？和三位一体一样吗？

我尝试使用其他CMS现有的FusionGen和github，并查看登录和注册系统。他们都建立在三位一体的基础上。

但它似乎并不是真的一样。

任何帮助都是非常感谢的。

Answer 1

AzerothCore对所有基于芒果的游戏服务器使用相同的策略。所以，是的，它也和TrinityCore一样。

密码使用SHA1哈希函数加密，格式为:大写的account:password。

因此，如果您的帐户是squeeze，而您的密码是azeroth，则它将以SHA1('SQEEZE:AZEROTH')加密。

密码将存储在account表的acore_auth数据库中的acore_auth字段中。

SQL码

SELECT SHA1(CONCAT(UPPER('your_username'), ':', UPPER('your_password')))

PHP代码

sha1(strtoupper($username).':'.strtoupper($password));

Answer 2

下面是有关密码的更多信息：

哈希

在AZerothCore数据库(以及所有Mangos派生程序)中，SHA1只用于在数据库中存储密码，但游戏客户端使用SRP6协议，该协议需要服务器生成并发送到客户端的v和s密钥。

Answer 3

@hanshenrik，让我们慢下来。我确实同意，这是一个可怕的密码存储方案，但由于切片不同的原因。盐类防御预先计算出来的散列攻击，所以如果攻击者能够破坏您的数据库，他无论如何都可以访问salt，所以攻击描述的并不是真正依赖于使用帐户作为salt，尽管我确实同意这必须是一个真正唯一的足够长的随机位序列，(帐户名称可能很短而且公开)。这里真正的问题是2：

1) SHA1不再被认为是安全的，2)使密码不敏感，减少可能的组合。

因为一个强化的方案最好是加密甚至是盐，以使攻击者的生活更加困难。