既然爆库了,就来说说网站密码如何保存吧

2011-12-23 11:03:40 +08:00
 feilaoda
数据库保存:md5(password + salt)这样么?
还是 md5( md5(password) + salt )?
我记得vbb登陆的时候用js取md5送到后台,没有https,后台直接存放md5。

怎样保存比较安全?邮箱地址要加密保存否?
4651 次点击
所在节点    问与答
14 条回复
frittle
2011-12-23 11:06:16 +08:00
电邮地址不能,也不该hash吧,不然系统或管理员要发电邮给用户怎么发
feilaoda
2011-12-23 11:23:24 +08:00
@frittle email不hash,但加密存储,可解密。或者,没必要加密,直接明文存就行了。
9hills
2011-12-23 11:37:06 +08:00
md5(username-password-salt) 即可
args
2011-12-23 13:53:32 +08:00
依靠md5就不可能安全吧。
hermitu
2011-12-23 14:15:57 +08:00
安全都是相对来说的,MD5总比明文保存 那样裸奔好吧
delectate
2011-12-23 14:32:57 +08:00
以前我做个小型的进销存,是这么弄得:
md5(base64(md5(base64(password) + salt )))
glume
2011-12-23 16:04:08 +08:00
vbb 多么遥远的传说,我记得vbb是md5( md5(password) + salt )?
doublleft
2011-12-23 16:07:19 +08:00
md5(base64(md5($pass) . md5($datetime)), 16) . md5($mail)
est
2011-12-23 16:14:28 +08:00
bcrypt
real_newbie
2011-12-23 16:49:52 +08:00
bcrypt
kongruxi
2011-12-23 16:50:23 +08:00
用了rails下devise这个gem,所以是Bcrypt
donwa
2011-12-23 16:55:48 +08:00
明显是:md5( md5(password) + salt )

md5(password + salt) 碰撞太容易了。
bhuztez
2011-12-23 16:57:48 +08:00
scrypt
feilaoda
2011-12-23 18:34:13 +08:00
@donwa 我也觉得md5( md5(password) + salt ) 比较好一些,前段js md5后送到后台
登陆可以不用https

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/24121

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX