MySQL 密码函数注意事项

对应用程序的密码进行哈希处理时，确定最佳方法至关重要。 MySQL 的密码函数在这方面尤其重要，但其使用引起了争议。

MySQL 密码函数的优缺点

使用 MySQL 的密码函数有一些优点。它是一个内置函数，可以安全地处理散列和加盐。然而，它也有潜在的缺点：

• 使用限制： MySQL 的文档明确建议不要在自定义应用程序中使用 PASSWORD() 函数。
• 弱散列算法： 该函数采用 MD5 或 SHA-1，现在被认为对于密码保护不够稳健。
• 缺乏盐管理： PASSWORD() 函数管理盐，但不提供检索或验证盐的显式机制。

推荐替代方案

由于这些问题，强烈建议避免使用 MySQL应用程序密码的密码功能。相反，在应用程序本身内处理散列和盐生成。这样可以对安全措施进行更多控制和灵活性。

最佳实践

为了获得最佳密码安全性，请考虑以下最佳实践：

• 使用 SHA-256 或更强大的算法： 使用 SHA-256 或更强大的算法（如 bcrypt 或 scrypt）实现哈希。
• 生成随机盐： 创建唯一的盐，为每个密码添加随机盐，以防止彩虹表攻击。
• 分别存储哈希值和盐值： 将哈希值和盐值拆分到数据库中的不同列中以增加保护。

MySQL 支持更新

MySQL 的路线图随着时间的推移而不断发展。虽然最初计划使用 SHA2() 函数，但其​​地位已发生变化。

• 在 MySQL 5.5.8 (2010) 中，引入了 SHA2() 函数。
• 在 MySQL 8.0 中(2018)，PASSWORD() 函数已被删除。

因此，将应用程序更新到最新的 MySQL 版本并遵守建议的密码处理最佳实践至关重要。