如果我们创建一个移动Web应用程序,则可能方便用户在其密码中使用表情符号/ Unicode字符。这是个坏主意,行得通吗?
答案 0 :(得分:1)
文章http://www.modernperlbooks.com/mt/2013/02/unicode-versus-passwords-versus-digests.html涉及了一些细节。最大的问题是Unicode中的文本可以用多个等效表示形式表示(我在这里不是在谈论编码)。不幸的是,在区别无关紧要的情况下,您无法使用UTS#10§§3.5,11使用简单正确的文本匹配解决方案。最佳安全性最佳做法规定,您不存储密码,而仅存储密码的摘要,因此散列之前的规范化步骤至关重要。
IMO,这不一定是一个坏主意,只是工作量大。