首頁猿問在數(shù)據(jù)庫中存儲密碼的首選方法

在數(shù)據(jù)庫中存儲密碼的首選方法

SQL Server

慕哥6287543 2019-09-20 16:25:24

在數(shù)據(jù)庫中存儲密碼的首選方法/數(shù)據(jù)類型是什么（最好是SQL Server 2005）。我在幾個應用程序中一直使用的方法是首先使用.NET加密庫，然后將它們作為二進制文件存儲在數(shù)據(jù)庫中（16）。這是首選方法還是我應該使用不同的數(shù)據(jù)類型或分配比16更多的空間？

查看完整描述

3 回答

UYOU

TA貢獻1878條經驗獲得超4個贊

我將密碼的salted哈希等價物存儲在數(shù)據(jù)庫中，而不是密碼本身，然后始終將哈希值與生成的用戶傳入的哈希值進行比較。

將文字密碼數(shù)據(jù)存儲在任何地方都太危險了。這使得恢復成為不可能，但是當有人忘記或丟失密碼時，您可以執(zhí)行一些檢查并創(chuàng)建新密碼。

反對回復 2019-09-20

回首憶惘然

TA貢獻1847條經驗獲得超11個贊

存儲salted-password的哈希值，例如bcrypt（nounce + pwd）。您可能更喜歡bcrypt而不是SHA1或MD5，因為它可以調整為CPU密集型，因此可以更長時間地進行暴力攻擊。
在幾次登錄錯誤后向登錄表單添加驗證碼（以避免暴力攻擊）
如果您的應用程序有“忘記密碼”鏈接，請確保它不通過電子郵件發(fā)送新密碼，而是應該發(fā)送一個鏈接到（安全）頁面，允許用戶定義新密碼（可能只有在確認后）一些個人信息，例如用戶的出生日期。此外，如果您的應用程序允許用戶定義新密碼，請確保您要求用戶確認當前密碼。
顯然，保護登錄表單（通常使用HTTPS）和服務器本身

通過這些措施，您的用戶密碼將得到相當好的保護：