我是一个用
PHP构建的新网站的开发者,我想知道究竟什么是最好的
用于散列的东西.我看过md5和sha1但有更安全的东西.
我很抱歉,如果这是一个不起眼的问题,但我是PHP安全新手,我正在尝试制作我的
网站尽可能安全.什么是盐?
谢谢,
克瓦
用于散列的东西.我看过md5和sha1但有更安全的东西.
我很抱歉,如果这是一个不起眼的问题,但我是PHP安全新手,我正在尝试制作我的
网站尽可能安全.什么是盐?
谢谢,
克瓦
首先,md5和sha1已被证明可以抵御碰撞攻击而且可能是彩虹
容易表示(当他们看到你的哈希在他们的公共密码数据库中是相同的).
目前有两个对密码足够安全的东西,您可以使用.
第一个是sha512. sha512是SHA2的子版本. SHA2尚未被证实
对于碰撞攻击和sha512都会产生512位哈希值.这是一个例子
如何使用sha512:
容易表示(当他们看到你的哈希在他们的公共密码数据库中是相同的).
目前有两个对密码足够安全的东西,您可以使用.
第一个是sha512. sha512是SHA2的子版本. SHA2尚未被证实
对于碰撞攻击和sha512都会产生512位哈希值.这是一个例子
如何使用sha512:
<?PHP hash('sha512',$password);
另一个选项叫做bcrypt. bcrypt因其安全的哈希而闻名.它的
可能是那里最安全的,也是最可定制的.
在您想要开始使用bcrypt之前,您需要检查您的服务器是否已启用它,然后输入
这段代码:
<?PHP if (defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) { echo "CRYPT_BLOWFISH is enabled!"; }else { echo "CRYPT_BLOWFISH is not available"; }
如果它返回它已启用,那么下一步很简单,只需要bcrypt a
密码是(注意更多可自定义,你需要看到这个How do you use bcrypt for hashing passwords in PHP?):
crypt($password,$salt);
现在回答你的第二个问题.盐通常是您在末尾添加的随机字符串
哈希它们时的所有密码.使用salt意味着某人获取您的数据库
他们无法检查常用密码的哈希值.使用彩虹表调用数据库.散列时应该总是使用盐!
以下是我对SHA1和MD5冲突攻击漏洞的证明:
http://www.schneier.com/blog/archives/2012/10/when_will_we_se.html,http://eprint.iacr.org/2010/413.pdf,http://people.csail.mit.edu/yiqun/SHA1AttackProceedingVersion.pdf,http://conf.isi.qut.edu.au/auscert/proceedings/2006/gauravaram06collision.pdf和Understanding sha-1 collision weakness