【发布时间】:2009-08-28 01:59:58
【问题描述】:
我计划使用 Kohana 的加密类,但有没有更好、更安全的双向处理方式?我希望我的用户能够发送他们以前的密码的请求,而不是给他们重置密码。
您可以推荐任何算法或库吗?特别是在 PHP 中?
【问题讨论】:
-
我认为这不是一个好主意。我讨厌网站通过电子邮件发送我自己的密码。密码应该写在nowhere。
-
我认为在实践中最好使用盐的单向哈希。通过让门打开以检索密码,您将承担将密码泄露给未经授权的人员的责任。共享相同密码的其他系统上的用户帐户也可能被盗用。
-
您能否详细说明为什么需要将密码发送给他们而不是重置为新密码?这似乎是一种不必要的风险,但收效甚微。
-
我刚刚看到一个 SO 帖子,一个好的身份验证系统应该使用这样的系统。但是在看到这里的所有答案之后,我想我确信我应该走一条路。我刚刚将 phpass 集成到我的项目中!:)