我意识到,为了安全起见,密码不应该以明文形式存储在数据库中。如果我将它们哈希,我可以验证它们是否有登录目的。
但是如果我想建立一个密码恢复系统,那么最好的策略是什么,因为没有撤消哈希?
有人能否简要介绍一下存储和恢复密码的良好安全策略?
答案 0 :(得分:38)
您无法恢复被哈希的密码,也不能。
你应该做的是:
答案 1 :(得分:7)
您没有“恢复”密码。你做的是两件事之一。
答案 2 :(得分:1)
您可以为用户和md5创建新的(并随机生成的)密码,然后通过电子邮件发送给用户。