个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
25
4
我正在将站点切换到 Rails。这是一个拥有超过 5 万用户的大型网站。问题是,现有的密码哈希方法极其很弱。我有两个选择:
1) 切换到新算法,为每个人生成随 secret 码,然后通过电子邮件将这些密码发送给他们,并要求立即更改
2) 实现新算法,但使用之前的旧算法,然后对结果进行哈希处理。例如:
密码:abcdef =算法 1=> xj31ndn =算法 2=> $21aafadsada214
任何新密码都需要经过原始算法 (md5),然后对哈希结果进行哈希处理(如果这有意义的话)?这样做有什么坏处吗?
最佳答案
一般情况下不需要重置密码,只需等到用户下次登录即可。
每个密码存储系统都必须可以选择切换到更好的哈希算法,您的问题不是一次性迁移问题。像 BCrypt 这样的好的密码哈希算法有一个成本因素,您必须不时地增加这个成本因素(因为更快的硬件),然后您需要与迁移所需的完全相同的过程。
如果你的第一个算法真的很弱,并且你想立即提供更多保护,那么对旧哈希值进行哈希处理的选项 2 是一件好事。在这种情况下,您可以计算双哈希并用新的双哈希替换数据库中的旧哈希。
$newHashToStoreInTheDb = new_hash($oldHashFromDb)
您还应该标记此密码哈希 ( see why ),以便您可以将其识别为双哈希。这可以在单独的数据库字段中完成,也可以包含您自己的签名。现代密码哈希函数还包括算法的签名,以便它们可以升级到更新的算法,并且仍然可以验证旧的哈希值。该示例显示了 BCrypt 哈希的签名:
$2y$10$nOUIs5kJ7naTuTFkBy1veuK0kSxUFXfuaOKdOKf9xYT0KKIGSJwFa
___
|
signature of hash-algorithm = 2y = BCrypt
验证将像这样运行:
new_hash(old_hash($password))进行比较。关于security - 将旧密码转移到新的哈希算法?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/14399750/
25
4
0
如果我将我的个人 repo 转移到一个组织(由我创建),我将失去所有 见解 例如来自原始 Repo 的流量历史记录、拉取请求、贡献者、 fork 等? 最佳答案 拉取请求被保留:参见“About re
如何为解析 if-then[-else] 案例制定正确的规则?这是一些语法: { module TestGram (tparse) where } %tokentype { String }
如何为解析 if-then[-else] 案例制定正确的规则?这是一些语法: { module TestGram (tparse) where } %tokentype { String }
我读过有关mutex的信息,这些信息由线程拥有,并且只能由拥有的线程使用。在this answer中,该解决方案建议每个进程在发出互斥信号之前,必须拥有互斥锁的所有权。我必须在这里承认自己的愚蠢,不知
我只能从回调函数之一中想到 curl_close() 。 但是 php 抛出了一个警告: PHP 警告:curl_close():尝试从回调中关闭 cURL 句柄。 任何想法如何做到这一点? 最佳答案
带有冲突的语法的精简版本: body: variable_list function_list; variable_list: variable_list variable | /* empty
我创建了新的开发者帐户,然后将应用程序转移到新帐户。然后我在新帐户下创建了相同的标识符。并构建App并上传到AppStore。 I have got the warning with WARNING
我想像这样管理类主任的所有 Activity : 此外所有 Activity 都扩展基本 Activity 以使用公共(public) View 。 在这种情况下,我想处理传输 Activity ,例
使用 C 中的简单链表实现,我如何告诉 Splint 我正在转让 data 的所有权? typedef struct { void* data; /*@null@*/ void* ne
请参阅以下 yacc 代码。如果我删除生产因素:'!' expr,解析冲突消失。这里发生了什么? %{ #include #include %} %token TRUE %token FALSE
是否可以将 props 向下传输到子组件,其中 { ..this.props } 用于更简洁的语法,但是排除某些 props,如 className 或 id? 最佳答案 您可以使用解构来完成这项工作
如果我有以下数据框: date A B M S 20150101 8 7 7.5 0 20150101 10 9 9
我需要将一个 __m128i 变量(比如 v)移动 m 位,以便位移动所有变量(因此,结果变量表示 v*2^m)。执行此操作的最佳方法是什么?! 请注意 _mm_slli_epi64 分别移动 v0
我需要这样调用我的程序: ./program hello -r foo bar 我从 argv[1] 中打招呼,但我在使用值 bar 时遇到问题,我是否也应该将“r:”更改为其他内容? while((
我是新来的 Bison我在转换/减少冲突方面遇到了麻烦...我正在尝试从文件加载到 array data[] : struct _data { char name[50]; char sur
当然有很多关于解决移位/归约错误的文档和方法。 Bison 文档建议正确的解决方案通常是%期待它们并处理它。 当你遇到这样的事情时: S: S 'b' S | 't' 您可以像这样轻松解决它们: S:
我有以下(大量精简的)快乐语法 %token '{' { Langle } '}' { Rangle } '..' { DotDot } '::' { ColonC
我的 Bison 解析器中有很多错误,即使它运行良好,我也想了解这些冲突。代码如下: 词法分析器: id ([[:alpha:]]|_)([[:alnum:]]|_)* %% {id
在我的项目中,我有这样的情况,一个 Activity 应该将值(value)转移到另一个 Activity 。并且根据这个值应该选择需要的菜单元素。我试图在 bundle 的帮助下做到这一点,但我不知
我一直在阅读 NSIndexPaths 以获得 uitableviews 等。但是我很难操纵现有的索引路径。 我想在保留行的同时采用现有的索引路径递增/移动每个部分。因此 indexPath.sect
我是一名优秀的程序员,十分优秀!