我正在考虑使用 2 个 key 对每个用户密码进行哈希处理,获得 2 个不同的哈希值。这样,除了实际密码之外,(几乎?)不可能找到有效的密码。
是吗?值得吗?
请您参考如下方法:
需要学习的一条重要规则是“永远不要尝试发明自己的密码学”。往好了说,你只是在浪费时间,往坏了说,你只是在引入安全漏洞。
如果您不确定自己是否是此规则的异常(exception),那么您就不是此规则的异常(exception)。
加密哈希的设计者已经担心冲突,所以您不必担心。只需选择一个(SHA-256 是一个不错的选择),然后将精力集中在应用程序的其余部分上。