是不是还好而且没啥用?它可以保存在另一个表甚至另一个数据库中。
你怎么认为?
附:为了更高的安全性,我也有常量的盐“花生”。它是保存在配置文件(而不是数据库)中的常量值。因此,如果黑客想要以某种方式破解密码,他还需要访问文件服务器和数据库。
是的,可以将每个用户的盐存储在存储密码的同一个表中hash (不是密码本身) - 即使对手能够访问原始数据库数据,他仍然需要分别尝试每个用户的盐+密码;将盐存储在另一个表中并没有真正增加任何重要的安全性(如果您假设对手可以访问数据库,那么假设他只能访问数据库的一部分对我来说没有多大意义)。
如果您使用 salt+peanuts+password 来创建密码哈希,那么我想说您的设计比 80% 的系统更安全 - 也就是说,相当安全,但不会过度偏执。
但请注意,如果您实际上以可恢复的形式(加密或明文)存储密码,那么您就将任何安全性抛到了窗外 - 盐和散列的全部意义在于您不以可恢复的形式存储密码。如果您确实存储了密码,那么这就是系统最薄弱的环节,从而完全不安全。为了清楚起见:用户表应该只包含salt and hash盐+花生+密码,从来没有密码 itself.
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)