bcrypt でハッシュ化されたパスワードの作業要素を維持する方法を理解しようとしていました。
私はそこに解決策を見つけました: Optimal bcrypt factor、これは基本的に、ユーザーのログイン時に再ハッシュできることを示しています。
しかし、長時間ログインしないユーザーの問題をどのように解決するのかわかりません。この場合、唯一の解決策は、セキュリティ上の理由からアカウントが無効になることを知らせる電子メールを送信することだと思いますか?
1 に答える
2
Bcrypt でハッシュ化されたパスワードは、コスト ファクターを増やす必要がある場合でも、十分に保護されています。おそらく、次のログインを待つことができます。あなたのサイトがこれだけのセキュリティを本当に必要としているなら、私が知っている 2 つの方法で問題を解決できます:
1) このパスワードをリセットし、ユーザーが次にログインしたいときに、失われたパスワードのページにユーザーを誘導することができます。もちろん、その理由をユーザーに説明するのは礼儀正しいでしょう。
2) コスト ファクターと現在のパスワード ハッシュのソルトをデータベースに保存できます。次に、Bcrypt を使用して、既にハッシュされたパスワードをハッシュします。ユーザーが次回ログインする場合、最初に保存されたソルト/コストでハッシュできます。その後、結果を取得して通常どおりハッシュできます。ログインが成功したら、忘れずに新しいコスト ファクターに更新してください。
この音が少し理解できることを願っています。
于 2012-09-13T07:00:58.403 に答える