它还好吗?它可以保存在另一个表甚至另一个数据库中。
你觉得怎么样?
第页。S.为了更高的安全性,我也有常盐"花生"。它是保存在配置文件(而不是数据库)中的常量值。所以,若黑客想以某种方式破解密码,他需要访问文件服务器和数据库。
是的,可以将每个用户的salt存储在存储密码hash的同一个表中(而不是密码本身)-即使对手可以访问原始数据库数据,他仍然需要分别尝试每个用户的salt+密码;将salt存储在另一个表中并没有真正增加任何重要的安全性(如果你假设对手可以访问数据库,那么假设他只能访问数据库的一部分对我来说没有多大意义)。
如果你使用salt+花生+密码来创建密码哈希,那么我想说,你的设计比80%的系统更安全——也就是说,相当安全,不会过于偏执。
但是,请注意,如果您实际以可恢复的形式(加密或明文)存储密码,则会将任何安全性抛到九霄云外-salts和hashing的全部意义在于,您没有以可恢复形式存储密码。如果您确实存储了密码,那么这是系统中最薄弱的环节,因此完全不安全。为了明确起见:用户表应该只包含salt+peanus+密码的salt和哈希,而不是密码本身。
您想要存储1)每个用户的salt和2)哈希密码+salt的结果。您不希望存储密码本身。