只是寻求一些建议。
我有一个大约有 2500 名用户的网站——规模虽小但正在不断增长。
我通过对密码使用 SHA1 加密来构建它。
我已经了解到 SHA1 是不安全的,并且想更改为带有盐的 SHA256。
有人对如何进行这样的过渡有任何建议吗?
如果我可以解密密码并重新散列它们,那就太好了,但它似乎无法做到。
thx
Adam
通常的做法是这样的:
- 增大哈希密码列以容纳 sha256 哈希,并添加“盐”列
- 最初将盐字段设置为 NULL,然后调整密码检查代码,以便 NULL 盐表示 sha1,非 NULL 表示 sha256
- 一旦 sha1-use 成功登录,使用 salt 将密码重新哈希为 sha256,并更新数据库。
随着时间的推移,用户会自行迁移到sha256;唯一的问题是用户很少登录或根本不登录。对于这些,您可能需要发送提醒电子邮件,甚至威胁如果他们在 X 天之前不登录就关闭他们的帐户(但不要给出实际原因......)
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)
