如果你加盐和盐如果您对临时pw生成期间使用的质询问题的响应也这样做,那么在数据库中散列一个pw吗?
谢谢,
JDelage
答案 0 :(得分:2)
这取决于您要对存储的响应做什么。如果您只想将完全与用户提供的响应进行比较,那么将其存储为salted哈希将很好,强烈建议。
但是如果您允许几乎正确的答案(例如区分大小写或错过空格),则需要原始字符串进行比较。此外,如果您有支持用户重置密码的帮助台,您可能希望他们能够比较答案。在这种情况下,您将需要原始字符串,哈希是无用的。您的决定取决于密码重置过程中您可能需要的原始字符串。
如果您无法避免以明文形式存储信息,则应在密码更改之前对密码重置(如经过验证的电子邮件地址)强制执行其他限制以发送授权链接。
答案 1 :(得分:1)
没有必要知道挑战是什么,只有正确回答。
答案 2 :(得分:1)
如果您询问密码恢复问题&答案,那么,天哪,是的!您可以围绕密码恢复过程实现更多的可跟踪性(以检测和防止尝试破解),但是数据库的这一部分与密码一样敏感,如果泄露为明文,则会损害您的用户。
基本上,密码恢复挑战只是其他名称的密码......