如何安全存儲用戶密碼，在網上已經有很多論述了。對于詳細過程，不再贅述了，不如在此直接拋出經驗。

1. 明文存儲的，直接槍斃
2. md5存儲的，蹂躪后再槍斃（五千萬 md5 加密的密碼約等于四千萬明文密碼）
3. 使用強哈希算法，md5，sha1這些都已經淘汰了
4. 每個密碼必須加鹽
5. 必須是隨機鹽，完全不可預測的那種

值得注意的是，千萬不要自己發明輪子，另外在 Python 中，應當使用 bcrypt 這個第三方庫。

下面的 Python 代碼，展示了大概的思路

def encrypt(password, salt=None):
    """加密

    :param password: bytes類型，務必轉換
    """

    if salt is None:
        salt = os.urandom(10)

    h = hmac.new(salt, password, hashlib.sha256)

    return salt + h.digest()

def verify(password, hashed):
    """驗證

    :param password: bytes類型，務必轉換
    """
    
    return encrypt(password, salt=hashed[:10]) == hashed