使用密文存储密码 #154

Closed
ArmstrongCN opened this Issue Jan 4, 2013 · 5 comments

Projects

None yet

2 participants

@ArmstrongCN
Contributor

明文密码的缺点很多,如果只是为了方便重置密码,可以专门提供页面工具计算hash值或者提供标准的hash值,改完数据库后到后台修改密码。
我在AppFog上挂了个b3log,用phpmyadmin备份,由于它不支持文件系统持久化,所以sql语句要直接页面输出。然后看到漫天飞的密码。
另建议不要用标准hash,可以多种hash结合。比如md5一次之后将前面若干个字符移到末尾然后整个再做一次sha。

@88250
Member
88250 commented Jan 4, 2013
  1. 的确应该使用密文存储密码
  2. B3log Latke 提供了专门的备份/恢复工具,可以看下这里:B3log 数据备份与恢复
@88250 88250 was assigned Jan 4, 2013
@ArmstrongCN
Contributor

研究过专门的备份工具,只不过觉得全库备份更干净点。毕竟目前数据量很小。Appfog上支持多个应用绑定一个数据库,这样管理起来也很方便。

@88250
Member
88250 commented Jan 4, 2013

哦,专门的备份工具主要有个好处是可以夸数据库,如果没有这需求,还是用数据库管理工具的备份比较好。

P.S. 多应用一个库,记得用表前缀哦,local.props 里面有配置,不过估计你也看到了 :-p

@88250 88250 added a commit that referenced this issue Jan 4, 2013
@88250 88250 密文存储密码 #154
升级的时候把已有密码更新为 HASH 后的。
d1db81a
@88250 88250 added a commit that referenced this issue Jan 4, 2013
@88250 88250 #154 820244f
@88250 88250 added a commit that referenced this issue Jan 4, 2013
@88250 88250 #154 46d25c1
@88250
Member
88250 commented Jan 11, 2013

目前使用标准 MD5 32 位,以后看如果需要加强再另开 issue 来做。

@88250
Member
88250 commented Feb 4, 2013

升级程序修改完毕。

@88250 88250 closed this Feb 4, 2013
Sign up for free to join this conversation on GitHub. Already have an account? Sign in to comment