将密码以哈希值存储时如何找回密码

如果您只存储了密码的哈希值，那么不行。... 而且您应该只存储适当进行盐处理的密码哈希值。
密码重置机制是正确的替代方案。

通常情况下，散列（Hash）密码是无法被检索出来的（这取决于散列函数，安全的散列算法是无法被检索出来的）。如果在两个网站上使用的散列相同，则可能意味着用户使用了相同的密码，这取决于网站使用的散列盐、加密方法等。

如果您的密码存储在一个良好的散列系统中，提供商不应该能够通过电子邮件向您发送密码，如果忘记密码，必须重置密码。

简而言之，不行。大多数哈希算法都可以有多个输入产生相同的输出。提供密码重置选项通常更好。

如果有一种简单的方法可以恢复明文密码，那么开始哈希密码就没有任何意义。这时候你可能会考虑使用base64或ROT13进行加密（不要这样做！）。正如其他人所提到的，应该使用其他密码恢复方法。实际上，没有一个好的理由需要访问明文密码。如果两个站点的哈希值相同，用户很可能在两个站点上使用相同的密码。但是并不能百分之百的保证，因为哈希碰撞的概率非常小。

有不同类型的哈希算法。其中一些比其他算法更安全。MD5是一种流行但不安全的算法。SHA系列是另一组更安全的算法。

根据定义，哈希是一种单向函数。它无法被反转。

http://en.wikipedia.org/wiki/Sha-1

常用哈希算法无法被逆转。可以使用暴力破解（尝试每个可能的密码）或者使用密码列表（使用常用密码列表）结合暴力破解来加速，但这仍然是一个非常缓慢和需要大量CPU的过程。

许多网站采用的最佳方式是创建一个“密码重置”按钮，在其中输入用户名和电子邮件地址，如果匹配，则发送一个随机密码并给您提供一个登录页面的链接，您可以使用随机密码登录并更改密码。

要做到这一点，您必须具有带有字段的模型：

Hashed_password
Salt

你需要知道用户使用的哈希密码方法（这里我使用SHA1） 然后你可以在控制器中定义：

def self.encrypted_password(password, salt)
   string_to_hash = password + "wibble" + salt
   Digest::SHA1.hexdigest(string_to_hash)
end

接下来你可以进行比较：

user.Hashed_password == encrypted_password(password, user.salt)

True表示"password"是用户"user"的密码

存储密码哈希的一般想法是确保密码安全，即使是那些可以访问数据库的人也无法获得。信任从来都不是默认的。哈希是一种单向算法，因此无法从哈希码中推导出原始密码。通常，当用户需要恢复存储为哈希的密码时，您应该询问他们的密保问题，并通过电子邮件发送临时密码或电子邮件发送临时链接，以便他们可以更改密码。这确保密码永远不会以明文形式存储，并且对于所有窥探的眼睛都是安全的，即使是那些可能被认为是值得信赖的人。