使用crackstation.net 上的散列+加盐的php 源代码,返回的散列包括使用的散列算法。我将 create_hash 函数返回的哈希值存储在我的数据库中。存储这些信息是不好的做法吗?这会给黑客带来优势吗?
问问题
124 次
2 回答
3
我认为这是一个很好的做法。这意味着,如果您升级散列函数(更安全),新用户将立即使用新的。
现在,您不能立即在旧的散列函数上重新散列用户,因为您需要他们的密码才能做到这一点,并且您无法从散列状态中检索它。相反,当这样的用户登录时,您使用他们的密码来存储一个新的散列列,并针对他们的用户帐户重置散列函数。
因此,通过这样的配置,用户在登录时会慢慢转移到更安全的系统上。
于 2013-09-12T20:54:16.433 回答
1
我不会说这是一个不好的做法。散列函数通常可以从输出散列的性质(例如字符串长度等)中识别出来,因此您可能不会告诉攻击者任何他们无法从散列中找出的任何内容。
于 2013-09-13T14:08:06.417 回答