假設(shè)您可以自由決定將散列密碼存儲(chǔ)在DBMS中的方式。這樣的計(jì)劃是否存在明顯的弱點(diǎn)？要?jiǎng)?chuàng)建存儲(chǔ)在DBMS中的哈希值，請(qǐng)執(zhí)行以下操作：作為鹽一部分的DBMS服務(wù)器實(shí)例唯一的值，用戶名是鹽的第二部分，并使用實(shí)際的密碼創(chuàng)建鹽的串聯(lián)，然后使用SHA-256算法對(duì)整個(gè)字符串進(jìn)行哈希處理，并將結(jié)果存儲(chǔ)在DBMS中。這意味著任何想解決沖突的人都必須分別為每個(gè)用戶名和每個(gè)DBMS服務(wù)器實(shí)例分別進(jìn)行工作。我打算使實(shí)際的哈希機(jī)制保持一定的靈活性，以允許使用仍在開發(fā)中的新的NIST標(biāo)準(zhǔn)哈希算法（SHA-3）?！?DBMS服務(wù)器實(shí)例唯一的值”不必是秘密的-盡管不會(huì)隨意泄露。目的是確保如果有人在不同的DBMS服務(wù)器實(shí)例中使用相同的密碼，則記錄的哈希值將不同。同樣，用戶名也不會(huì)是秘密的-僅是正確的密碼。首先使用密碼，然后使用用戶名和“唯一值”，或者對(duì)這三個(gè)數(shù)據(jù)源進(jìn)行任何其他排列，會(huì)有任何好處嗎？或交織字符串呢？我是否需要添加（并記錄）隨機(jī)鹽值（每個(gè)密碼）以及上述信息？（優(yōu)點(diǎn)：用戶可以重復(fù)使用密碼，并且很可能仍然在數(shù)據(jù)庫(kù)中記錄了一個(gè)不同的哈希值。缺點(diǎn)：必須記錄鹽。我懷疑優(yōu)點(diǎn)遠(yuǎn)大于缺點(diǎn)。）密碼哈希：固定長(zhǎng)度的二進(jìn)制字段還是單個(gè)字符串字段？我認(rèn)為這些問題的答案支持我的算法（盡管如果您只是使用隨機(jī)鹽，那么“每臺(tái)服務(wù)器的唯一值”和用戶名組件就不太重要了）。