如何存储在表中的网站用户密码主题想出了好几次在SO和一般的建议是存储密码，最终的HMAC哈希散列。 这工作正常进行基本身份验证或基于表单的身份验证（实际上是一回事）。 我的问题是，我也必须提供摘要式身份验证，目的是连接到我的服务的自动化工具。 我一直在寻找这个问题，因为我看到它，我可以存储唯一的哈希值是该文摘HA1部分 ：的哈希username : realm : password 。 这样我可以证实这两个基本/表格和摘要。

我的问题是，我不认为这样做任何好处。 现在，如果他得到我的密码表保持确实攻击者无法使用基本或基于表单的身份验证（因为他只有散列值，他需要发出明确的密码），但没有什么能够阻止他使用摘要身份验证，并给予有效响应我服务的挑战：他只是从表中的预先计算HA1开始，并继续从那里响应的工艺加工（即我会做同样的事情，以验证在后端的用户）。

我缺少的东西吗？ 是否加精华需求基本上使得哈希的存储从安全POV口令是空操作，模糊处理最好？

我使用预先计算哈希值的原因是不免受攻击的保护，但是，以确保用户的隐私。

攻击者确实可以验证，但他不能（容易）见我珍贵的用户密码，并危及他们正在使用其他服务等。