对用户名和密码进行散列会产生任何安全性好处吗? 我的意思是这个计划:
1.用户输入电子邮件地址
2.计算哈希(电子邮件)地址
3.用户输入密码计算哈希(密码)。
4.匹配值以表示登录成功或失败。
这不会让破解的哈希与相应的用户相匹配。
我不知道这是否已经被使用过,或者这个想法由于某种原因我没有想到是不切实际的。我没有在搜索中找到任何内容,所以我在这里问。
答案 0 :(得分:4)
这会使登录凭据更难破解,但这也意味着您无法获得用户名的明文版本,这是您可能需要做的事情。
加强登录凭据安全性的最佳方法是在用户密码上使用更强(即更慢)的盐渍哈希算法,例如bcrypt或PBKDF2。
答案 1 :(得分:2)
我不是安全专家,但感觉它应该增加一些安全性。但是,您可能很难以这种方式与用户通信。您不能通过电子邮件发送包含产品更新或月度发票的哈希值。