无需保存用户电子邮件即可恢复密码
无需保存用户电子邮件即可恢复密码
提问于 2011-04-06 07:03:13
嘿你好啊。我正在开发一个网站,我想有一个密码找回系统的用户谁丢失了他们的密码,但我不想保存用户的电子邮件地址或任何私人数据。我想保存电子邮件地址的散列,但如果数据库被泄露,可以检查电子邮件地址是否已注册,以及它属于哪个帐户。你有什么想法吗?
回答 1
Stack Overflow用户
回答已采纳
发布于 2011-04-06 07:25:14
为了防止数据库被破坏和哈希提取,只需在兑现之前向所有电子邮件地址添加一些随机(但不变的字符串)。例如,在散列前添加"BLABLABLA“将"joe@example.com”转换为"joe@example.comBLABLABLA“。它仍然不是完美的,但现在攻击者需要你的数据库,你的应用程序代码,逆向工程,并且知道这是他首先需要做的(在数据库中没有提示你的应用程序在散列之前修改了电子邮件地址)。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/5559588
复制相关文章
相似问题
腾讯云开发者
