项目中密码如何存储？

● 首先，明文肯定是不行的
● 第二，单纯使用 MD5、SHA-2 将密码摘要后存储也不行，简单密码很容易被彩虹表攻击，例如
○ 攻击者可以把常用密码和它们的 MD5 摘要结果放在被称作【彩虹表】的表里，反查就能查到原始密码
加密结果 原始密码
e10adc3949ba59abbe56e057f20f883e 123456
e80b5017098950fc58aad83c8c14978e abcdef
... ...
因此
● 要么提示用户输入足够强度的密码，增加破解难度
● 要么我们帮用户增加密码的复杂度，增加破解难度
○ 可以在用户简单密码基础上加上一段盐值，让密码变得复杂
○ 可以进行多次迭代哈希摘要运算，而不是一次摘要运算
● 还有一种办法就是用 BCrypt，它不仅采用了多次迭代和加盐，还可以控制成本因子来增加哈希运算量，让攻击者知难而退