您将如何向现有密码哈希添加盐？

发布于 2024-07-29 18:23:58 字数 87 浏览 14 评论 0原文

我有一个哈希密码数据库，在哈希密码之前没有添加盐。我想在新密码中添加盐。显然我无法重新散列现有的。

您将如何迁移到新的哈希系统？

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

像你 2024-08-05 18:23:58

你当然可以。只需向现有哈希添加盐并再次对其进行哈希即可。当然，这将要求任何未来的登录都经历相同的过程，这意味着需要调用两个哈希函数，但许多合法模式无论如何都会这样做，因此它的味道并不像您想象的那么糟糕。

对密码加盐是一种防御彩虹表的方法。在这种情况下，盐不需要是秘密。

http://en.wikipedia.org/wiki/Rainbow_tables#Defense_against_rainbow_tables

你实际上可以看到在文章中，

hash = MD5 (MD5 (password) . salt)

这与您将使用的方法完全相同。（不同的哈希函数除外。）

Sure you can. Just add a salt to the existing hash and hash it again. Of course this will require any future logins to go through the same process meaning two hash functions will need to be called but lots of legitimate patterns do this anyway so it doesn't smell as bad as you might think.

Salting a password is an effort to defend against rainbow tables. In this case the salt does not need to be a secret.

http://en.wikipedia.org/wiki/Rainbow_tables#Defense_against_rainbow_tables

You can actually see in the article

hash = MD5 (MD5 (password) . salt)

Which is the same exact method you would be using. (Except a different hashing function.)

回复收藏 0 原文

紫﹏色ふ单纯 2024-08-05 18:23:58

作为快速修复，您可以在数据库中创建一个盐列，当用户登录正确匹配旧哈希时，您可以使用他们输入的密码和盐并创建一个新哈希。

回复收藏 0 原文

旧街凉风 2024-08-05 18:23:58

您可以添加一列，其中包含一个标志，显示用户是否具有旧（无盐）哈希值或新（带盐）哈希值。

此时，一个好主意是强制所有用户在登录时更改密码。这样您最终就可以摆脱该列。

回复收藏 0 原文

百变从容 2024-08-05 18:23:58

我处理过涉及多种哈希技术的类似问题。我还使用了在数据库中编码哈希方法类型的方法（即“alpha”、“beta”、“gamma”、“delta”）。我用适当的级别标记了所有当前的哈希值。当用户登录时，我验证了他们的密码并使用更新的方法重新对其进行哈希处理。我们的密码会在 90 天后过期，因此只需保留 3 个月，直到所有使用旧方法的密码都可以重置。

回复收藏 0 原文