用戶帳戶激活電子郵件是否沒有保存在數據庫中的祕密合理安全？

Question

我想創建一個通訊應用程序，用戶自然必須確認他們註冊了通訊，所以如果某些機器人輸入地址，我們不會發送垃圾郵件。

我的想法是簡單地向用戶發送一封包含鏈接的電子郵件，該鏈接在url中有一個祕密，這是一個電子郵件地址和一些祕密sitekey的散列。

我的問題是以下幾點： 有人可以通過註冊幾個帳戶，從而接收與他的地址祕密散列，猜測sitekey，並因此註冊每個她想要的電子郵件地址？

我沒有看到通過這樣做可以獲得的任何東西，但如果這很容易，有人會這樣做，我會被列入黑名單。

我不存儲未激活的用戶帳戶的原因很簡單，我不想每隔x天從數據庫中清除它們。

Answer 1

如果你確保你使用類似sha1這樣的完全隨機salt/sitekey，那麼試圖用字典攻擊來反向工程sitekey將是徒勞的。

如果有人沒有要合成自己的哈希登記任意地址，更有效地利用自己的時間會來訪問你的服務器來讀取源代碼:)

Answer 2

我認爲這將是最好的生成一個隨機的祕密，並保持在分貝。這樣就沒有什麼可以猜到的。 （至少不是沒有權限添加任何電子郵件）。