2

对用户名和密码进行哈希处理会带来任何安全优势吗?我的意思是这个方案:


1.用户输入电子邮件地址 2.计算哈希(
电子邮件)地址
3.用户输入密码 计算哈希(密码)。
4.匹配值以指示登录成功或失败。

这是否会使破解的哈希与相应的用户匹配变得有点困难。

我不知道这是否已经被使用过,或者这个想法是否由于某种我没有想到的原因是不切实际的。我在搜索中没有找到任何东西,所以我在这里问。

4

2 回答 2

4

这将使登录凭据更难破解,但这也意味着您将无法获得用户名的明文版本,这可能是您需要做的事情。

加强登录凭据安全性的最佳方法是对用户密码使用更强(即更慢)的加盐哈希算法,例如 bcrypt 或 PBKDF2。

请参阅http://codahale.com/how-to-safely-store-a-password/

于 2012-08-23T09:23:52.493 回答
2

我不是安全专家,但感觉应该增加一些安全性。但是,您可能很难以这种方式与您的用户交流。您不能通过电子邮件发送带有产品更新或月度发票的哈希。

于 2012-08-23T09:22:01.170 回答