无需保存用户电子邮件即可恢复密码

Question

嘿。 我正在开发一个网站，我想为丢失密码的用户提供一个密码恢复系统，但我不想保存用户电子邮件地址或任何私人数据。 我想过保存电子邮件地址的哈希值，但如果数据库遭到破坏，可以检查电子邮件地址是否已注册以及它属于哪个帐户。 你有什么想法吗？

Answer 1

为了防止数据库被破坏和提取哈希值，只需在兑现之前向所有电子邮件地址添加一些随机（但恒定的字符串）即可。例如添加“BLABLABLA”将“[email protected]”转换为“<哈希之前的 href="/cdn-cgi/l/email-protection" class="__cf_email__" data-cfemail="aac0c5cfeacfd2cbc7dac6cf84c9c5c7e8e6ebe8e6ebe8e6eb">[email protected]" 。它仍然不完美，但现在攻击者需要您的数据库、您的应用程序代码，对其进行逆向工程，并且知道这就是他首先需要做的事情（数据库中没有任何提示表明您的应用程序之前修改了电子邮件地址）散列）。