0
我即將設置我的註冊表單發送包含唯一代碼(非常標準)的激活電子郵件。發送隨機密碼salt作爲激活碼?
我已經在我的數據庫中存儲了每個用戶的隨機生成的鹽,該用戶在註冊時將其應用於其密碼。
我的問題是,是否有任何理由不應該只將該鹽用作激活電子郵件的唯一代碼?這不會爲我節省任何工作,但它可以節省數據庫空間。大多數情況下,我只是很好奇人們如何看待用戶的密碼salt。
A
回答
0
這不一定是一個好的解決方案,但由於鹽是獨特的,它不應該是一個巨大的關注。你可以rot13和base64編碼鹽。然後,沒有人會真正知道它是鹽,你可以很容易地扭轉它來查找它。
0
如果用戶是黑客,知道他們自己的鹽會讓他們更容易破解他們自己的帳戶,但是如果每個人的鹽都不同,那麼沒有理由不這樣做,如果它更容易。瞭解你自己的鹽只會幫助你作爲黑客破解你自己的賬戶。總之,沒有真正的理由。
0
最好使用單獨的安全生成的值。
由於提到@SyntaxLAMP,使用鹽作爲激活碼是information leakage的一種形式。如果有人被充分放置以檢索通過明確電子郵件發送的所有註冊用戶的鹽,這也可以打開MITM attack的大門。
相關問題
- 1. 激活密碼passwordkey php(MySql)
- 2. Authlogic發送錯誤的激活碼
- 3. 發送激活碼GSM移動
- 4. 密碼salt存儲
- 5. 如何使用隨機SALT進行密碼散列?
- 6. 隨機salt md5實現,包括新的註冊/更改密碼
- 7. 重用密碼經紀人邏輯發送激活郵件
- 8. 隨機密碼的代碼
- 9. PHP Salt密碼加密
- 10. Authentiaction讓用戶從最初發送的隨機密碼更改密碼
- 11. 最優密碼salt長度
- 12. 隨機激活通知工作 - IBM Worklight
- 13. 用郵件或URL隨機發送密碼
- 14. 如何在Codeigniter中爲忘記密碼生成隨機密碼
- 15. 隨機替代密碼(Python)
- 16. 隨機密碼生成
- 17. 指定隨機密碼
- 18. 生成隨機密碼?
- 19. 隨機密碼生成與
- 20. PHP生成隨機密碼
- 21. 生成隨機密碼
- 22. 隨機密碼驗證
- 23. 隨機密碼生成
- 24. 爲wifi設置自動隨機密碼
- 25. 存儲加密密碼和salt或僅存儲加密密碼?
- 26. 在c中使用salt加密密碼#
- 27. 在C中使用salt解密密碼#
- 28. AES加密 - 密碼,salt沒有解決?
- 29. 波雷費密碼隨機密鑰(C#)
- 30. 解密隨機數據(至密碼)
好吧,如果你的空間太緊了,你可以從數據庫中刪除激活碼。事實上,如果激活碼甚至存在,您可以使用刪除操作作爲驗證。 – crush
正確醃製和散列的字符串不應該通過泄露鹽而受到損害,但是,使用鹽可能有助於蠻力強制散列。 – SyntaxLAMP