标签: security authentication cookies guid
我正在研究如何为网站实现持久的“记住我”类型的cookie。我只是想知道是否使用GUID作为安全令牌和密码的md5哈希?
答案 0 :(得分:1)
GUID更“安全”,因为随机标识符中不存在信息泄露的可能性。否则,如果要知道用户名,则可以使用每用户名彩虹表或协同攻击来提取密码,因为您在散列之前未添加盐。注意:此时MD5是一个相当弱的哈希值。
长话短说,如果您不需要在非常充分的理由中将私人信息存储在Cookie中,请不要。改为使用随机令牌。