将用户名和密码存储在两个数据库中还是一个数据库中哪个更好？

Question

我很好奇大家的想法。

这个想法是将单向加密的用户名存储在一个由一个连接保护的数据库中，然后将相应的单向加密密码存储在另一个具有不同 .它们可以是单独的服务器，但我认为没有必要。结果是，如果攻击者在没有访问另一个数据库的情况下获得了对一个数据库的访问权限，那么这些信息将毫无用处。 然后，使用该信息的应用程序将仅检查匹配的散列用户凭据以及索引列是否匹配。

我意识到可能存在一些性能问题，但我认为这些问题是最小的。对我来说，这将是最安全的用户信息。

Answer 1

我将密码存储在一个单独的、受限制的数据库中。为了增加你的理由，用户、组和一些其他设置的列表可以是公开的，而密码，即使是加密的，也应该得到很好的保护。例如，类 UNIX 系统通常存储用户特定的信息（例如用户 ID、组 ID、shell 等）。在公共场所。然而，密码的 MD5 哈希值对所有人都是隐藏的。以前它们是可用的，但现在这是一个很大的安全风险，因为现在可以使用暴力解码 MD5。

Answer 2

根据我有限的知识......我猜想在对用户名和密码进行哈希处理后的任何内容都将是矫枉过正，并且从那里你就相当不错了。

Answer 3

有趣的概念，尽管我使用过的每个系统都在单个模式中处理，甚至在同一个表中处理。确实可以，但没有必要像您提到的那样。