如何安全地保存用户密码？

Question

近两年发生了很多用户数据泄漏事件，导致很多用户的密码被撞库。有什么有效的办法来保存用户密码，让用户密码被泄漏的风险被降到最低？

Answer 1

bcrypt.

雖然大多數人更喜歡贊同 md5 + salt 堅不可摧的觀點，我還是要堅定地說：md5 + salt 不適合密碼加密的場合。

參見：http://www.freebuf.com/articles/web/28527.html

Answer 2

普通的MD5加随机salt基本可以抵抗量子计算机出现之前的所有密码安全问题。

当然不排除再来一个数学家找出更严重的bug直接破解掉加salt的MD5算法，这基本相当于MD5算法直接被扒光，可能性小到几乎为0，纯粹打脸的事情，搞MD5的数学家也不是吃素的。

Answer 3

结论：

hash(hash(passwd) + salt)

hash 可以用常见的散列算法如 MD5 或者 SHA 系列，salt 是为每一条记录单独随机生成的一段数据。

论证过程：http://jysperm.me/technology/1476