passwords - 我应该如何存储密码?

  显示原文与译文双语对照的内容

我有一个需要登录的系统,但是我正在构建它要求在登录时传输密码是非常安全的( 甚至使用 SSL ) 。 所以我使用了摘要访问认证的一个变种来传输登录请求。 现在我唯一的问题是如何在数据库( 在安全 salted 散列中优选) 上存储密码,因此它们可以与摘要请求一起使用,而不需要在客户端浏览器中使用密码,只需几秒钟即可。

简单地说,如何安全地存储密码,但允许数据库的摘要( 有一个不同的,不断变化的nonce ) 进行身份验证?

时间:

我理解,这种机制发送的东西如下:


hash(nonce + hash(password + salt))

所以在服务器上,你只需要存储 hash(password + salt)salt

...