ユーザー名とパスワードの両方をハッシュすると、セキュリティ上の利点が得られますか? 私はこのスキームを意味しました:
1.ユーザーがメールアドレスを
入力 2.ハッシュ(メール)アドレス
を計算 3.ユーザーがパスワードを入力 ハッシュ(パスワード)を計算 .
4.値を照合して、ログインの成功または失敗を示します。
これにより、クラックされたハッシュを対応するユーザーに一致させることが少し難しくなります。
これがすでに使用されているのか、それとも私が考えたことのない何らかの理由でこのアイデアが実用的でないのかはわかりません。検索しても出てこなかったのでこちらで質問させていただきました。
ログイン認証情報をクラックするのが難しくなりますが、ユーザー名のクリア テキスト バージョンを取得できなくなることも意味します。
ログイン資格情報のセキュリティを強化する最善の方法は、bcrypt や PBKDF2 など、ユーザーのパスワードに強力な (つまり、低速な) ソルト付きハッシュ アルゴリズムを使用することです。
http://codahale.com/how-to-safely-store-a-password/を参照してください。
私はセキュリティの専門家ではありませんが、セキュリティを追加する必要があるように感じます。ただし、その方法でユーザーと通信するのに苦労する場合があります。製品の更新や毎月の請求書を含むハッシュを電子メールで送信することはできません。