Hap*_*per 3 security passwords hash
我正在考虑使用2个键来散列每个用户密码,获得2个不同的哈希值.这样,除了实际的密码之外,(几乎?)找不到有效的密码是不可能的.
是对的吗?这值得么?
要学习的一条重要规则是"永远不要尝试发明自己的密码术".你只是浪费时间,最糟糕的是引入安全漏洞.
如果您不确定自己是否是此规则的例外,那么您不例外.
加密哈希的设计者已经担心碰撞,所以你不必这样做.只需选择一个(SHA-256是一个不错的选择)并将精力集中在您的应用程序的其余部分.
你可以使用更长的哈希值.例如,SHA-512是512位,并且(假设它是均匀的)远远不像SHA-256那样冲突.但就个人而言,我不担心.大多数密码本身少于32个字节(256位),因此与SHA-256发生冲突的概率极低.