在數據庫中存儲用戶密碼/數據

Question

尋求創建一個保存用戶信息（主要是用戶和密碼）的數據庫表。

• 散列（密碼）和用戶的最佳方式是？
• 我是否應該加密用戶的名字？
• 如果我有一個密碼錶和另一個用戶數據表，我怎麼可以關聯/鏈接它們？

登錄是沒有問題的，問題是如何將表（數據的密碼的表和表爲每個用戶）

由於

Answer 1

您基本的用戶表看起來是這樣的：

User Table 
------- 
id username password 
1  mike  @#$90sDfsa 

，其中的密碼是我的密碼的哈希版本（帶salt）。

Answer 2

關聯的登錄是沒有問題的中， 問題是表關聯 （口令和數據的 錶針對每個用戶的表）

要表關聯，您可以用關係工作：

• http://dev.mysql.com/tech-resources/articles/intro-to-normalization.html#04
• How to create relationships in MySQL

Answer 3

我會存儲散列和表中醃製密碼與用戶數據的其餘部分。如果您真的想將密碼存儲在單獨的表中，請將用戶標識與其關聯以將密碼與用戶相關聯。通常使用強哈希算法，例如SHA251並加密密碼以防止彩虹表攻擊。我不認爲你應該需要散列用戶名。

Answer 4

正如我上面評論，我只是散列密碼。

另外，你爲什麼要在單獨的表中存儲用戶和密碼？它們是相關的，應該在同一個表中。諸如地址之類的數據將屬於單獨的表格。

Answer 5

在存儲密碼之前，您當然應該密碼。理想的是用獨特的鹽。

作爲一個散列函數，你不應該使用類似SHA- *的東西，因爲密碼散列函數被設計得很快。這使得獲得散列的人很容易以非常快的速度嘗試大量可能的密碼。

使用密碼哈希函數，如bcrypt，它被設計爲任意慢。

Answer 6

如果您絕對必須有兩個表，一個使用哈希/鹽漬密碼，另一個使用用戶信息，您可以使用代理鍵來執行表之間的關係。

你可以有一個設置是這樣的：

CREATE TABLE users (USER_ID INTEGER, 
        PASSWORD_ID INTEGER, 
        USER_ATTRIBUTE VARCHAR(30)); 
CREATE TABLE passwords (PASSWORD_ID INTEGER, 
         PASSWORD_HASH VARCHAR(255)); 

PASSWORD_ID是代理鍵，您可以使用它在用戶表中的密碼錶參考價值。您可以使用SQL查詢將表連接在一起：

SELECT * 
FROM users INNER JOIN passwords 
    ON users.PASSWORD_ID = passwords.PASSWORD_ID;