2011-08-07 53 views
3

我對在數據庫中存儲密碼的想法:因爲密碼可以通過簡單地在彩虹表中查找的哈希(等等,等等)被破解,那會是多少(甚至是小)更安全地存儲操縱散列,而不是真正的?就我而言,這不是一個字符串散列兩次或東西 - 我的「爭先恐後」的哈希(我不想說我的方法本)的自定義模式,所以我想我會問,如果它是值得的麻煩在我做一些毫無用處的事情之前。貯藏操縱哈希,而不是正確的人

數據庫中的密碼目前使用Blowfish加密(鹽是完全隨機的)和SHA-1,這是否足夠安全(是的,你永遠不會太安全 - 但它應該足夠了)?我們真的沒有很多用戶,因爲該網站沒有引起太多關注。

我絕對沒有這種東西的專家,這樣下去容易在我身上。我唯一知道的是,人們在破解密碼方面越來越好,並且可能性似乎越來越高。

+0

加密!=散列 – SLaks

回答

2

我不希望我的方法遑通過隱藏這個

安全是不是安全。

如果用戶的密碼足夠長,並且添加足夠長的鹽並且使用了良好的散列/加密算法,那麼您將無法在彩虹表中找到散列。

看看例如:http://freerainbowtables.com其分佈彩虹表,看看他們在哪裏。

但是,您可以自己(或使用一些自制函數)自己加密密碼,而不必在加密時使用更多迭代。