将临时/机器生成的密码作为明文存储在数据库中会有多大的安全问题?临时密码安全 - 以纯文本形式存储
我知道应该使用带盐的单向散列函数来加密密码。用户提供的密码尤其如此,因为用户通常会一遍又一遍地重复使用它们。如果数据库被盗,小偷可能能够访问第三方网站上的用户帐户,例如:公用事业账单,社交网络,甚至是网上银行的潜力。
将临时/机器生成的“欢迎”或“重置”密码作为明文存储在数据库中有多大的问题?密码将通过电子邮件发送给用户,并且必须在登录后进行更改。然后他们提供的密码将被散列。
我问的原因是,有一些不错的属性来存储临时密码作为明文。例如,如果用户没有收到“欢迎”或“重置”电子邮件,管理员可以快速查找他们的临时密码。
由于临时密码是机器生成的,因此如果数据库被盗,小偷将无法访问用户登录的任何第三方网站。然而窃贼可以登录到生成临时密码的应用程序。
分配这些密码一个小的“过期”会限制暴露,但总的来说,我只是想看看这种方法会有多危险。
而不是让管理员查找临时密码,让他们设置一个新的密码。它会显示给他们,但仍然存储它散列。 – Barmar
@Bamar - 感谢您的好建议。提供类似功能的更安全的方法。 – dana