ちょっと、そこ。私はウェブサイトを開発していて、パスワードを紛失したユーザーのためのパスワード回復システムが欲しいのですが、ユーザーのメールアドレスや個人データを保存したくありません。メールアドレスのハッシュを保存することを考えましたが、データベースが侵害された場合、メールアドレスが登録されているかどうか、およびそれがどのアカウントに属しているかを確認できます。あなたはなにか考えはありますか?
質問する
275 次
1 に答える
1
DBが危険にさらされてハッシュが抽出されるのを防ぐには、キャッシュする前に、すべての電子メールアドレスにランダムな(ただし一定の文字列)を追加するだけです。たとえば、ハッシュする前に「BLABLABLA」を追加して「joe@example.com」を「joe@example.comBLABLABLA」に変換します。まだ完璧ではありませんが、攻撃者はDBとアプリケーションコードを必要とし、それをリバースエンジニアリングし、そもそもそれを行う必要があることを知っています(DBには、アプリケーションが以前に電子メールアドレスを変更するというヒントはありません)ハッシュ)。
于 2011-04-05T23:25:13.613 に答える