使用 php source code对于 crackstation.net 上的散列+加盐,返回的散列包括使用的散列算法。我将 create_hash 函数返回的散列存储在我的数据库中。存储这些信息是不好的做法吗?这会给黑客带来优势吗?
最佳答案
我认为这是一个很好的做法。这意味着如果您升级您的散列函数(到更安全的东西),新用户将立即使用一个新的。
现在,您无法立即使用旧的哈希函数重新哈希用户,因为您需要他们的密码来执行此操作,并且您无法从其哈希状态中检索它。相反,当这样的用户登录时,您使用他们的密码来存储新的散列列,并针对他们的用户帐户重置散列函数。
因此,通过这样的配置,用户在登录时将慢慢转移到更安全的系统上。
关于php - 存储用作散列密码一部分的散列函数是不好的做法吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/18774057/