我一直在尋找方法來保護我的用戶密碼。我目前正在使用哈希算法和隨機鹽的組合。如何保護加密密碼即使是最弱的一個?
這個問題的主要原因是當我的用戶設置一個非常非常弱的密碼。無論我的混合哈希算法有多困難,以及我的鹽有多久,我認爲它可以在不到一年的時間內被破解。
我一直在想一個新的方式。我已經創建了一個腳本,每次用戶通過在舊的散列密碼上添加一個隨機鹽註銷,然後再次加密,就會重新加密密碼。所以,每次用戶回來時,加密的密碼都是不同的。得到它?
但是這個想法的主要問題是,每次用戶註銷時我都必須存儲新鹽。想象一下,如果用戶每天都登錄和註銷,我的代碼看起來就像:
有什麼想法?
哦,我有一個想法。如何每年重新生成新的加密密碼?
只要使用很長的鹽,或開始執行人民的密碼標準。 – Marcin 2011-02-27 13:45:54