假設您可以自由決定將散列密碼存儲在DBMS中的方式。這樣的計劃是否存在明顯的弱點？要創建存儲在DBMS中的哈希值，請執行以下操作：作為鹽一部分的DBMS服務器實例唯一的值，用戶名是鹽的第二部分，并使用實際的密碼創建鹽的串聯，然后使用SHA-256算法對整個字符串進行哈希處理，并將結果存儲在DBMS中。這意味著任何想解決沖突的人都必須分別為每個用戶名和每個DBMS服務器實例分別進行工作。我打算使實際的哈希機制保持一定的靈活性，以允許使用仍在開發中的新的NIST標準哈希算法（SHA-3）。“ DBMS服務器實例唯一的值”不必是秘密的-盡管不會隨意泄露。目的是確保如果有人在不同的DBMS服務器實例中使用相同的密碼，則記錄的哈希值將不同。同樣，用戶名也不會是秘密的-僅是正確的密碼。首先使用密碼，然后使用用戶名和“唯一值”，或者對這三個數據源進行任何其他排列，會有任何好處嗎？或交織字符串呢？我是否需要添加（并記錄）隨機鹽值（每個密碼）以及上述信息？（優點：用戶可以重復使用密碼，并且很可能仍然在數據庫中記錄了一個不同的哈希值。缺點：必須記錄鹽。我懷疑優點遠大于缺點。）密碼哈希：固定長度的二進制字段還是單個字符串字段？我認為這些問題的答案支持我的算法（盡管如果您只是使用隨機鹽，那么“每臺服務器的唯一值”和用戶名組件就不太重要了）。