0

可能重复:
腌制和储存盐的最佳方法是什么?
使用随机盐改进密码散列

假设使用正确的密码散列算法并为每个密码生成不同的盐......

将盐与密码哈希分开存储是否存在安全风险?例如。在数据库表中,将密码哈希存储在一列中,并将密码盐存储在单独的列中?

我看到了通过使用特定算法将盐嵌入密码哈希本身的策略。稍后可以从密码哈希中提取盐。这更安全吗?

4

1 回答 1

2

从我读过和做过的所有事情来看,将密码哈希和密码盐存储在单独的列中没有任何问题,这是最常见的方法。

身份验证的基本方法应该是这样的:

  1. 使用用户提供的用户名或电子邮件检索 user_id 和 password_salt
  2. Concat 用户提供的密码输入和检索到的盐
  3. 对组合字符串使用散列算法
  4. 根据数据库中的哈希检查创建的哈希
于 2012-11-19T17:35:37.040 回答