标签:sha password-encryption php hash bcrypt
这是我目前在PHP / SQL项目中的密码哈希程序…
>从/ dev / urandom获取512位每用户盐,除了最终哈希之外,还存储在用户的DB记录中
>从/ dev / urandom中取出512位“pepper”,它存储在文件系统中.这是一个
每个应用程序不变,每个用户都是一样的
>然后哈希(‘sha512’,$password.$salt.$pepper,TRUE)
散列和盐在DB中以二进制形式存储,主要是出于习惯.我认为它在安全方面没有任何区别.如果有的话,它对SQL备份来说稍微不方便,并使PHP代码看起来稍微复杂一些.
一般认为使用SHA-256或SHA-512的hash()被bcrypt取代了吗?
我相信SHA-2(256/512)仍然被认为是加密安全的,我可能过度使用了熵位.与攻击者从数据库转储中反向设计SHA-2哈希相比,我的代码中的缺陷更有可能导致问题.
但是我应该更新我的方法,而不是使用带有CRYPT_BLOWFISH的crypt()(我相信这被称为bcrypt,而blowfish在技术上是一种密码而不是散列算法)?
即使只是作为未来的最佳实践?
我并不特别关心算法的计算费用(在合理范围内).这只是在您创建帐户,更改密码或在您进行哈希比较时登录时的一个因素.这些活动构成了一小部分页面浏览量.我想在某种程度上越慢越好,如果它使服务器更难以生成,那么它将使攻击者的工作更慢到暴力.
干杯,B
解决方法:
如果你可以等到php 5.5,那么内置的内容会有一些有用的功能:
https://gist.github.com/3707231
直到那时,使用crypt – 您可以查看新功能的这个前向兼容端口:
https://github.com/ircmaxell/password_compat
标签:sha,password-encryption,php,hash,bcrypt 来源: https://codeday.me/bug/20191008/1874368.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。