서버에 해시 된 이메일 업로드하기

Question

서비스에 새로운 사용자를 등록하는 것이 일반적인 방법인지 이해하려고합니다. 그들은 로그인하여 나중에 식별 할 수 있도록 전자 메일 주소가 필요합니다. 그래서 지금은 처음에 Google+ sign-in for Android을 사용하고 있습니다. 그러나 서버의 각 사용자를 식별 할 수있는 방법이 필요하므로 확인 된 주소의 MD5 해시를 만든 다음 base64을 사용하여 인코딩하고 업로드하는 것입니다. 그들을 서명하십시오. 이 문제에 대해 더 널리 받아 들여지는 해결책이 있습니까? 아니면 적어도이 부분에 대해 싫은 부분이 있습니까? 요점은 일반 텍스트로 자신의 주소를 업로드하는 것을 피한 것이므로 괜찮다고 생각하십니까?

Answer 1

해시가 충돌 할 수 있지만 나중에 사용자 식별에 문제가 발생할 수 있습니다.

암호는 해시로 저장되어 (공격자가 인증 데이터베이스를 가져 오더라도 공개하지 않음) 볶음으로써 (도난당한 데이터베이스에서 오프라인 사전 공격을 피하기 위해) 사용자의 전자 메일을 평이하게 전송하지 않아도됩니다. 전자 메일 주소는 사용자의 공개 식별자 (예 : 공용 데이터)가 아니기 때문에 사용자의 서비스에 텍스트가 포함될 수 있습니다.