对于安全性工作,应使用安全function在hash中保存php之类的密码。
将密码转换为hash时,它不是可逆的,因此如果有人忘记密码,如何获取密码?
Gmail或其他帐户如何发送密码?
答案 0 :(得分:2)
如上面的Sneftel所述,如果忘记密码,Gmail不会向您发送密码。任何确实存在严重安全问题的系统。
处理此问题的正确方法是通过密码重置,假设您拥有用户的电子邮件地址,您可以向他们发送限时链接以允许他们重置密码。 (即,当用户从他们的电子邮件中单击链接时,这可以证明他们是请求密码重置的合法用户)。这种技术在业界相当普遍。但是,如果您是电子邮件提供商(我猜您不是),那么您需要其他方法来进行密码重置,例如手机验证。为了爱上帝,请不要做秘密问题,他们已经知道安全问题,但一些大玩家(Apple)继续使用它们。
答案 1 :(得分:0)
你不应该反转哈希,这就是存储它们的重点。也许为用户提供重置密码的选项,但避免将其发送出当前密码。如果必须这样做,那么你需要将它们存储为明文或使用你加密的算法。