我正在研究如何最好地在数据库中存储密码这个课题。我发现所有现代网站都将密码哈希存储在数据库中,然后通过相同的哈希函数传递用户输入的文本并比较哈希值。但在所有授权示例中,仅对密码进行了散列。电子邮件或登录信息以明文形式存储。如果您对登录名和电子邮件进行哈希处理,并在检查时将它们传递给哈希函数,就像密码一样,会发生什么?然后攻击者将只能访问哈希,但不能访问可以在其他网站上使用的电话号码或电子邮件。他们为什么不这么做呢?数据库是否会占用更多空间?或者是因为哈希函数很慢所以它们不这样做?这种方法有什么缺点?
RError.com
造成这种情况的原因如下:
1)不可逆性
如果以哈希的形式存储登录信息和电子邮件,那么就不可能找出这些登录信息和电子邮件。这意味着您将无法通过电子邮件找到您的登录信息(例如,当您忘记了登录信息并通过电子邮件恢复时),就像您无法通过登录信息找到您的电子邮件一样(您将无法使用您的登录信息登录您的帐户)。
2)碰撞
许多不同的来源可以导致相同的哈希(如果我们谈论的是经典的、经常使用的哈希)。对于密码来说这不是问题,因为导致相同哈希值的不同密码不会互相干扰,但电子邮件和登录名对于用户必须是唯一的。即使发生碰撞的可能性很小,风险仍然存在,特别是当数据库包含数百万用户时。
3)计算资源
无论如何,好的哈希函数都会使用额外的资源,当我们谈论数据库中的数百万甚至数十亿条记录时,任何增加额外负载的小事都会变成明显的资源浪费。
并且原则上没有理由对登录名、电子邮件和其他类似数据进行哈希处理。