mysql - 加密已经散列的 BCrypt 密码是否过大？

我正在使用 BCrypt 在服务器端对我的密码进行哈希处理。在我将它存储在我的 MySQL 数据库中之前，加密我的散列 BCrypt 密码是否过大，或者将散列直接存储在数据库中就足够了？

该网站建议在散列密码后对密码进行加密：

只要攻击者可以使用哈希来检查密码猜测的正确与否，他们就可以对哈希进行字典或暴力攻击。下一步是将密钥添加到哈希中，以便只有知道密钥的人才能使用哈希来验证密码。这可以通过两种方式完成。可以使用 AES 之类的密码对散列进行加密，也可以使用 HMAC 等带密钥的散列算法将密钥包含在散列中。

编辑：我正在用 Java 编码。我试图衡量增加的保护层与读取和检索用户登录密码的速度性能是否值得。

标签： mysqlpasswordsbcrypt

这确实会提高安全性，但很高兴知道您通过加密获得了什么。

这种情况并不像人们想象的那么罕见，典型的场景是 SQL 注入、丢弃的备份、丢弃的服务器......

为了能够对密码进行暴力破解，需要服务器端密钥，该密钥用于加密密码哈希。这意味着，能够从数据库中读取哈希值已经不够了，需要额外的权限才能从服务器读取密钥。在服务器上获得特权比能够读取数据库要困难得多。

Crackstation 是一个很好的咨询网站。在我自己的关于安全存储密码的教程的最后，我尝试解释这种密码哈希加密的细节。