passwords - 密码恢复而不保存用户电子邮件

密码恢复而不保存用户电子邮件

时间：2011-04-05 23:03:13

标签： passwords recovery

嘿，那里。我正在开发一个网站，我想为丢失密码的用户设置密码恢复系统，但我不想保存用户电子邮件地址或任何私人数据。我想保存电子邮件地址的哈希，但如果数据库被泄露，可以检查是否已注册电子邮件地址以及它属于哪个帐户。你有什么想法吗？

1 个答案:

答案 0 :(得分：1)

为了防止数据库被泄露并提取哈希值，只需在兑现之前将一些随机（但常量字符串）添加到所有电子邮件地址。例如。在散列之前添加“BLABLABLA”以将“joe@example.com”变为“joe@example.comBLABLABLA”。它仍然不完美，但现在攻击者需要您的数据库，您的应用程序代码，对其进行反向工程，并且知道这是他首先需要做的事情（数据库中没有提示您的应用程序之前修改了电子邮件地址散列）。

密码恢复无需通过电子邮件发送密码
密码恢复而不保存用户电子邮件
密码恢复不发送电子邮件。
没有电子邮件的Visual Studio密码恢复
密码恢复流程 - 将密码恢复发送到任何电子邮件？
密码恢复不发送电子邮件
WordPress，停用恢复电子邮件中的密码恢复链接
无需密码保存用户数据 - 设计
使用电子邮件
保存用户时，MongoDB无效的电子邮件和密码

我写了这段代码，但我无法理解我的错误
我无法从一个代码实例的列表中删除 None 值，但我可以在另一个实例中。为什么它适用于一个细分市场而不适用于另一个细分市场？
是否有可能使 loadstring 不可能等于打印？卢阿
java中的random.expovariate()
Appscript 通过会议在 Google 日历中发送电子邮件和创建活动
为什么我的 Onclick 箭头功能在 React 中不起作用？
在此代码中是否有使用“this”的替代方法？
在 SQL Server 和 PostgreSQL 上查询，我如何从第一个表获得第二个表的可视化
每千个数字得到
更新了城市边界 KML 文件的来源？