近两年发生了很多用户数据泄漏事件,导致很多用户的密码被撞库。有什么有效的办法来保存用户密码,让用户密码被泄漏的风险被降到最低?
普通的MD5加随机salt基本可以抵抗量子计算机出现之前的所有密码安全问题。
当然不排除再来一个数学家找出更严重的bug直接破解掉加salt的MD5算法,这基本相当于MD5算法直接被扒光,可能性小到几乎为0,纯粹打脸的事情,搞MD5的数学家也不是吃素的。
结论:
hash(hash(passwd) + salt)
hash 可以用常见的散列算法如 MD5 或者 SHA 系列,salt 是为每一条记录单独随机生成的一段数据。
论证过程:http://jysperm.me/technology/1476
bcrypt.
雖然大多數人更喜歡贊同 md5 + salt 堅不可摧的觀點,我還是要堅定地說:md5 + salt 不適合密碼加密的場合。
參見:http://www.freebuf.com/articles/web/28527.html