问题描述
|
只是想知道在存储诸如密码之类的用户信息时,将散列的用户名存储在数据库中是否是一个好习惯。
解决方法
加密/散列用户名是过大的。如果您担心安全性,只需使用带有随机盐的SHA256哈希即可。
加密用户名没有意义,因为您可能会基于userName(部分userName)进行搜索。加密只会使搜索变得困难。
好吧,我一生中一直在使用SHA256并认为它是最糟糕的。 Rein Henrichs对这篇文章的好评表明,SHA256可能不是最安全的。您可能要使用bcrypt,但我认为它非常慢。我将做一些概念验证,如果速度很慢,那么我将继续使用SAH256 + hash。
感谢您的链接。
,不必要。只需使用设计为使暴力攻击无法执行的哈希函数(如bcrypt)即可。 SHA不足。
,不,你不应该。
否则,您将无法显示已注册用户的列表或该类型的任何内容。这也会使许多其他功能不必要地笨拙。
只需对用户的密码使用一种单向摘要方法(例如bcrypt),即可达到较高的工作效率。
,永远不要以明文形式存储密码。但是您不需要哈希用户名。
但是我假设您将使用此用户信息来访问某些服务器,以允许客户端登录。如果密码不是从客户端到服务器的在线传输,它是安全的。在这种情况下,您可以使用某种单向哈希值作为密码。如果您的客户端和服务器都知道哈希功能,则您的密码永远不需要通过网络。但是,如果要更改哈希机制,就会出现问题。您的客户端和服务器都需要更新。在这种情况下,客户端必须协商服务器使用哪种机制。您将最终做出一种spnego机制;)