<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">2015-10-30 0:33 GMT+01:00  <span dir="ltr"><<a href="mailto:wkitty42@windstream.net" target="_blank">wkitty42@windstream.net</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 10/29/2015 01:08 PM, Frederic Da Vitoria wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Good point. I'd even ask the question: do you really need to store the<br>
passwords? IOW, do you want to be able to send them back to the user? Or do<br>
you only need to check them?<br>
</blockquote>
<br></span>
in the use case being studied, passwords can only be compared or reset...<span class="HOEnZb"></span><br></blockquote></div><br></div><div class="gmail_extra">Do you really need to compare them or simply to validate them? I ask because in one project I worked on for an insurance company, we were forbidden to store the passwords. We stored only a kind of checksum for them. With something like CRC32 or even a higher resolution algorithm, you can efficiently check that the password is correct (with really low chances of false positives), minimize the storage space required and completely eradicate the possibility that someone will get the actual passwords from your database. This could be relevant if this is for a web site, many people use the same password on all the web sites so that if their password is revealed on one site, they would need to change all their passwords.<br clear="all"></div><div class="gmail_extra"><br>-- <br><div class="gmail_signature">Frederic Da Vitoria<br>(davitof)<br><br>Membre de l'April - « promouvoir et défendre le logiciel libre » - <a href="http://www.april.org" target="_blank">http://www.april.org</a><br></div>
</div></div>