Khôi phục mật khẩu bằng mật khẩu sha1 băm

Question

Tôi muốn triển khai chức năng quên mật khẩu cho trang web của mình. Tôi băm mật khẩu bằng cách sử dụng sha1. Làm cách nào để tôi khôi phục điều này cho người dùng?

Phương pháp tốt nhất để thực hiện điều này là gì?

Answer 1

Câu trả lời ngắn gọn, bạn không thể.

Bạn muốn thực hiện mật khẩu đặt lại chức năng, không phải mật khẩu truy xuất chức năng. Toàn bộ các điểm băm mật khẩu là bạn không nhận được để lưu trữ mật khẩu của người dùng, và bạn không thể khôi phục nó nếu nó bị mất.

This nên cung cấp cho bạn một ý tưởng sơ bộ như thế nào để cho phép người dùng đặt lại quên mật khẩu:

Answer 2

Phương pháp tốt nhất là không cố gắng để khôi phục mật khẩu gốc. Nếu người dùng mất mật khẩu thì hãy tạo mật khẩu mới, ngẫu nhiên và sử dụng phương thức ngoài băng để gửi cho họ (ví dụ: email). Hãy nhớ rằng toàn bộ các điểm băm mật khẩu là để ngăn chặn phục hồi.

Tôi biết, tôi biết, email không an toàn. Nhưng nếu bạn yêu cầu người dùng thay đổi ngay mật khẩu đã tạo thì rủi ro sẽ giảm thiểu.

Nhân tiện, tôi không thể khuyên bạn nên đủ muối và đổi mã băm để ngăn chặn các cuộc tấn công brute-force trong trường hợp kẻ tấn công có được giá trị băm.

Answer 3

NO

Không có cách nào hiệu quả được biết đến của quay trở lại một băm SHA1 để nó văn bản gốc (vì nó là một chức năng một cách theo thiết kế). Nếu bạn muốn có thể hiển thị cho người dùng mật khẩu của họ sau này, bạn sẽ có để lưu trữ mật khẩu đó theo phương thức có thể đảo ngược (mã hóa IE, văn bản thuần túy). Điều này vẫn có thể là một ý tưởng tồi, hãy thử tìm một better way of doing it.