代码之家 › 专栏 › 技术社区 › Kzqai

第二种观点的安全好处是,我通过postgresql对用户密码进行hash&salt的计划有缺陷吗?

hash passwords postgresql php

Kzqai · 技术社区 · 15 年前

以下是我的计划和目标:

总体目标:

具有一定简单性的安全性;数据库到数据库的可转移性,因为我不是专家,可能会搞砸,我不想让很多用户重置密码。
易于擦除用于发布“擦除”测试数据数据库的密码(e、 g.我希望能够使用postgresql语句简单地将所有密码重置为简单的密码,以便测试人员可以自己使用这些测试数据)。

全局salt、特定于帐户的salt和密码的组合是通过postgresql中的一些散列方法进行散列的(还没有找到postgresql中散列函数的文档,但是如果我能找到它,就可以使用sha-2或类似的东西)。

要更改他们的密码,他们必须经过标准的密码重置(重置的电子邮件会发送到原始电子邮件以及他们设置的最新帐户电子邮件)。

1 回复 | 直到 15 年前

MightyE 15 年前

我不会让用户的数据成为盐的一部分。例如,如果管理员需要更改用户的电子邮件地址(不知道用户密码的人才能重新生成哈希),该怎么办。使用帐户创建时间戳或存储在记录中的随机值,或其他不可变的用户特定值。

推荐文章

eswues · 从/etc/shadow-awk vs Perl获取密码

7 年前

Steven Tautonico · 有人能回答为什么这个Tkinter不起作用吗?

7 年前

C. Unit · 密码的正则表达式=一个数字、大写字母和小写字母以及特殊字符,但是!!开头或结尾没有特殊字符

7 年前

jsc · Powershell创建密码过期报告

7 年前

Josh Pham · 屏幕阅读器读取移动应用程序上密码类型输入的“句号”或“星形”

7 年前

Emp1 · 密码-登录不工作Python

7 年前

Kiran · 如何允许asp。net密码中包含特殊字符,如“<”和“>”

7 年前

Anmol Dua · 使用django身份验证重置密码

7 年前

Norgul · Laravel密码代理外观

7 年前

Nita · 为什么验证在javascript中的所有代码上都不起作用,即使我没有写名称,它也不会发出任何警报

7 年前