我正在做一些研究或谷歌搜索处理密码散列和加盐的不同方法,并发现了这个有趣的链接:
现在,基本上这提议的是创建两个用户函数,一个用于散列,一个用于检查散列。
盐是伪随机的,但实际上是基于密码的(我觉得很糟糕?)。
散列函数还伪随机地在散列字符串中“撒”盐。
散列检查函数反转撒盐,然后进行实际的散列检查。
现在,我知道每个密码散列的唯一盐值 = 好,但也知 Prop 有散列密码和创建存储在数据库函数中的盐值的逻辑可能 = 坏。
我喜欢这样的想法,盐不是显而易见的,它也不需要基于一些希望一致的值,例如用户名、用户 ID、出生日期等,但正如我所说,我确实对实现。
那么,人们对“最佳方法解决方案”的看法和想法是什么?
最佳答案
salt doesn't need to be secret.对于给定的密码,它确实需要不可预测。
从密码中推导出盐完全没有捕获要点。
关于mysql - 密码散列和加盐——这是一个好方法吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/854961/