一个抗脱库的密码哈希方法

查看 36|回复 0
作者:chenjia404   
我之前做过一个方案:
哈希(用户名+密码+网站名)发送给服务器,服务器拿到提交的哈希和用户名,再哈希(用户名+密码+网站名+盐),把最后一步的哈希存在一张哈希表里面,下次用户登录的时候,只需要验证哈希表中是否有元素即可。
修改密码的时候修改用户的盐,写入新的哈希记录就行了,而且哈希表越来越大,每个网站的哈希表都不一样,泄露也没有办法跑彩虹表。
哈希函数只要是在 sha1 以上的,基本上冲突的可能性就很小。
这个方案也不需要提交明文密码到服务器,过安全测评也好过。
您需要登录后才可以回帖 登录 | 立即注册

返回顶部