每次登錄時更改數據庫中的密碼值

Question

每次用戶登錄數據庫時，更改密碼值是否是一種好方法？ 我已經寫了一個散列函數來散列密碼，當用戶在系統上註冊一個新帳戶。 每次用戶登錄時，數據庫中的散列值都將被更改。是好還是壞？

Answer 1

如果你設計了這個散列函數全部由你自己來完成......這是一個非常糟糕的主意。你爲什麼需要這樣的東西？如果你存儲鹽醃SHA-256哈希密碼，安全性就足夠好了。您不需要重新生成密碼，它不提供任何額外的安全性。如果讓我們說你的應用程序傾向於SQL注入，那麼這個方案將不會保護你的應用程序。你會好很多，如果您使用鹹魚和鍵控SHA-256，是這樣的：（我不是一個PHP的編碼器，我只是希望我們的應用程序是安全的）

$username = 'Admin'; 
$password = 'gf45_gdf#4hg'; 
$key = 'MySuperSecretKEY!!!!'; 
$salt = hash('sha256', uniqid(mt_rand(), true) . 'something random' . strtolower($username)); 
$hash = $salt . $password . $key; 
$hash = hash('sha256', $hash); 
$hash = $salt . $hash; 

，然後檢查：

$username = 'Admin'; 
$password = 'gf45_gdf#4hg'; 

$sql = ' 
    SELECT 
    `hash` 
    FROM `users` 
    WHERE 
     `username` = "' . mysql_real_escape_string($username) . '" 
    LIMIT 1 
    ;'; 

$r = mysql_fetch_assoc(mysql_query($sql)); 

$salt = substr($r['hash'], 0, 64); 
$hash = $salt . $password . $key; 
$hash = hash('sha256', $hash); 
$hash = $salt . $hash; 

if ($hash == $r['hash']) { 
    //OK 
} 

因此，即使攻擊者能夠欺騙他不知道的醃製算法，一把鑰匙也不會在SQL注入攻擊中重現有效的哈希值。