想象一下,您想要创建一个必须符合以下条件的“安全”消息传递应用程序:
如果某人有权访问服务器数据库,则他/她无法从您使用的字段中识别用户以替换普通用户名/电子邮件。
This解决方案似乎很有趣。
但我想知道:
答案 0 :(得分:0)
不是真的。哈希适用于隐藏密码等秘密信息。对于像电子邮件地址这样通常很容易猜到/用Google搜索的信息,攻击者可以轻松地为电子邮件地址数据库预先生成大量哈希值,并快速使用反向查找来查找给定的哈希值(在您的系统上) )与数据库中的一个地址匹配。这就是说哈希不是唯一的事实,这可能不是一个足够大的哈希地址空间的问题。
通常,如果您需要匿名ID,则应使用随机生成的ID。