这样做是否可行并且不是无用的?可以将其保存在另一个表格甚至另一个数据库中。
你觉得呢?
附言:为了更高的安全性,我还有一个固定的盐值“peanuts”。它是保存在配置文件中的常量值(不保存在数据库中)。因此,如果黑客想要以某种方式破解密码,他需要访问文件服务器和数据库。
这样做是否可行并且不是无用的?可以将其保存在另一个表格甚至另一个数据库中。
你觉得呢?
附言:为了更高的安全性,我还有一个固定的盐值“peanuts”。它是保存在配置文件中的常量值(不保存在数据库中)。因此,如果黑客想要以某种方式破解密码,他需要访问文件服务器和数据库。
是的,把每个用户的盐存储在同一个表格中,也可以存储密码哈希值(而不是密码本身) - 即使敌方获取了原始数据库数据,他仍然需要分别尝试每个用户的盐+密码;在另一个表格中存储盐并不能增加任何重要的安全性(如果您假设敌方已经能够访问数据库,那么我觉得假设他只能访问其中一部分并没有多大意义)。
如果您正在使用盐+花生酱+密码来创建密码哈希,则我认为您的设计比市面上80%的系统更安全 - 这意味着,在不过分偏执的情况下,相当安全。
请注意,如果您实际上将密码以可恢复的形式(加密或明文)存储,那么您会使任何安全措施付之东流 - 盐和哈希的整个目的是您不存储可恢复的密码。如果您存储了密码,那么这就是您系统中最薄弱的环节,因此系统完全不安全。为了澄清:用户表格应该只包含salt+peanuts+password的盐和哈希值,决不能包含密码本身。
您希望存储每个用户的盐以及密码+盐哈希结果。您不想存储密码本身。