使用 sha1 密码哈希恢复密码
Posted
技术标签:
【中文标题】使用 sha1 密码哈希恢复密码【英文标题】:Password recovery with sha1 password hashing 【发布时间】:2011-04-30 21:07:15 【问题描述】:我想为我的网站实现忘记密码功能。我使用 sha1 对密码进行哈希处理。我将如何为用户恢复它?
实现这个的最佳方法是什么?
【问题讨论】:
欺骗:***.com/questions/3615408/php-dehashing-the-password 等等 PHP:How to send the original password to the user when he clicks forgot password which is encrypted by using md5?的可能重复 【参考方案1】:简短的回答,你不能。
您要实现密码重置功能,而不是密码检索功能。散列密码的全部意义在于您无法存储用户的密码,并且一旦丢失就无法恢复。
This 应该让您大致了解如何允许用户重置忘记的密码:
【讨论】:
不仅他做不到。更准确地说,他应该做不到。否则,根据定义,散列将毫无用处。 该死。我应该去找简短的答案:) 谢谢。因此,重置密码是有道理的。谢谢!【参考方案2】:最好的方法是不要尝试恢复原始密码。如果用户丢失了密码,则生成一个新的随机密码并使用带外方法将其发送给他们(例如电子邮件)。请记住,散列密码的全部目的是为了防止恢复。
我知道,我知道,电子邮件不安全。但是,如果您要求用户立即更改生成的密码,那么风险就会降低。
顺便说一句,如果攻击者获得散列值,我不能建议您同时对密码进行加盐并迭代散列以防止暴力攻击。
【讨论】:
【参考方案3】:否
没有已知的将 sha1 哈希恢复为其原始文本的有效方法(因为它是一种单向函数设计)。如果您希望以后能够向用户显示他们的密码,您将必须将其存储在一种可逆的方法中(IE 加密,明文)。这仍然可能是个坏主意,请尝试查找better way of doing it。
【讨论】:
恢复 sha1 哈希的无效方法是什么? :) @George Rainbow Tables 可以很好地处理简短的简单密码,但如果哈希被加盐或包含符号,您可能无法反转它。 蛮力。遍历所有可能的文本字符串,对每个字符串进行散列,与存储的散列进行比较。运行时间随着最大字符串长度呈指数增长。 5 个字符(字母和数字)大约是实用性的极限。 感谢您提交找回密码请求。大约 35 年后,我们将通过电子邮件将您的密码邮寄给您。以上是关于使用 sha1 密码哈希恢复密码的主要内容,如果未能解决你的问题,请参考以下文章