主要观点：今年初开始深入探索 Redis 功能，几个月后生态爆发，出现多种存储用户密码的方式。Redis 用 SHA256 存储密码虽快但易被破解，不符合最佳实践。文档虽让用户设强密码但未强制，作者认为此方式不符合“默认安全”原则。
关键信息：

• Redis 用 SHA256 存储密码，因需快速建立和认证连接，避免存储明文。
• 最佳实践包括使用强慢的密钥派生函数、加盐、加胡椒。
• 作者提议添加盐可使弱密码哈希更难破解，可向后兼容并添加到外部配置文件；考虑选择更合适的密钥拉伸方法；默认自动为 ACL 用户生成强密码。
  重要细节：
• SHA256 算法破解速度快，易受彩虹表攻击等。
• 文档让用户设长且不可猜的密码，但多数用户和管理员可能意识不到或做不到。
• ACL 规则和用户可作为配置文件外部管理，哈希不一定只在 Redis 服务器上。
• 已有ACL GENPASS命令可生成 32 字节随机字符串作为密码。