对密码进行反哈希处理

Question

出于安全原因，必须将散列密码存储在数据库中。

如果用户忘记了自己的账户密码，如何找回？我现阶段只能分享他们的哈希密码，这对他们来说毫无用处。

如果密码经过 md5、sha1 和附加盐哈希处理，您能恢复密码吗？

Answer 1

请务必小心那些可以通过电子邮件向您发送您使用的密码的网站。这意味着有权访问密码数据库的任何人都可以轻松看到您的密码，如果您重复使用密码，这尤其危险。

对于密码重置，我建议使用“安全问题”以及加密的答案。

所有网站运营商都有责任确保其客户免受黑客攻击。

Answer 2

是的..人们可能会忘记他/她的密码..使用散列密码时的良好做法是让用户输入他/她想要重置密码的帐户的电子邮件地址，然后系统将使用另一个密码重置用户密码生成的密码。 MD5之类的散列密码几乎不可能从散列密码中检索到原始密码

Answer 3

散列本身代表“无法检索回来”。

如果用户忘记了他们的密码，他们肯定不需要这个密码。
只需创建另一个随机的并发送它们即可。
没什么大不了的。

Answer 4

散列而不是加密密码的安全性在于您无法反转散列。如果您可以对密码进行解散列并为用户提供纯文本密码，那么任何黑客都可以反转您用于注册和登录的散列密码并对其进行“解散”以获取用户的密码。
这是一个功能，而不是一个错误。

Answer 5

这注定是棘手的。因此，您通常必须提供某种重置方法。发送特殊链接到用户的电子邮件很常见，尽管这会降低电子邮件帐户的安全性。

请参阅
忘记密码：实现忘记密码功能的最佳方法是什么？
。

Answer 6

只有一个简单的答案：不能。

嗯，理论上可以，但如果密码足够长，每个密码可能需要很多年。毕竟，这就是对密码进行哈希处理的首要目的：使数据对攻击者来说实际上毫无用处（或者至少保护用户的明文密码，这是敏感数据。）

只需让网站发送“更改密码” " 电子邮件包含指向用户可以更改其密码的页面的链接。这就是大多数专业网站处理这种困境的方式。