我试图在现有的应用程序上实现随机salt md5算法。用户密码作为md5散列存储在数据库中。对于现有用户以下步骤之后随机salt md5实现,包括新的注册/更改密码
在客户端(JavaScript)
client_password = md5(md5(plain_password) + random_salt)
在服务器端
server_password = md5(md5_password + same_random_salt),
check client_password to server_password
我努力寻找解决方案来存储用户的md5密码,而不在数据库盐对于更改密码的情况。
感谢
第100次停止使用MD5以可靠的方式存储密码。 http://www.win.tue.nl/hashclash/rogue-ca/ – 2011-03-29 05:17:21
你不应该在客户端进行salting/hashing。盐应该保密。如果您不想传输密码以供服务器执行salt + hash,请考虑启用SSL,或使用公钥密码术对其进行披露。无论哪种方式,盐都不应暴露。无论哪种情况,依靠Javascript来做这件事情都不是特别可靠。 – 2011-03-29 05:17:25