我有一个关于在数据库中存储密码的想法:因为只需在彩虹表中查找哈希就可以破解密码(等等),存储操作的哈希会更安全吗(甚至更少)而不是真正的?在我的情况下,它不是一个字符串哈希两次或什么 - 我有一个自定义模式“扰乱”哈希(我宁愿不提我的方法),所以我想我会问这是否值得麻烦在我做一些没用的事之前。
数据库中的密码目前用Blowfish加密(盐是完全随机的)和SHA-1,这是否足够安全(是的,你永远不会太安全 - 但是它应该就够了)?我们真的没有很多用户,因为该网站没有引起太多关注。
我绝对不是这种东西的专家,所以对我很轻松。我唯一知道的是,人们越来越好地破解密码(而且可能性似乎越来越大)。
答案 0 :(得分:2)
我不想提及我的方法
通过默默无闻的安全不是安全。
如果用户的密码足够长并且您添加了足够长的盐并使用了良好的散列/加密算法,那么您将无法在彩虹表中找到散列。
看看例如:http://freerainbowtables.com,它们是分布式彩虹表并查看它们的位置。
但是,您可以自己(或使用某些自制功能)代替加密密码,在加密时使用更多迭代。