我想知道使用不同的可用方法在 PHP 中对密码进行哈希处理,并将它们组合起来以提高安全性。 我想知道这是否可行..?
$pass = "***";
$salt = "!@)#%%@(#&@_!R151";
$pass = sha1($pass.$salt);
$pass = md5($pass);
【问题讨论】:
md5()-ing sha1() 哈希是个好主意...
标签: php security md5 sha1 password-protection
除此之外,您可以使用更强的散列算法,例如 sha512 结合强盐和UserID:这样做: p>
echo hash('sha512', 'MyPassword' . $StrongSalt . $UserID);
SHA512 实际上是没有发现冲突的 SHA-2。请参阅wikipedia。
【讨论】:
microtime() 不可重现,您只是创建了一个无法验证的哈希(除非您将其存储在某处)...
$UserID,它使每个用户的销售都是独一无二的。
hash 函数的支持。
不。组合不会增加任何安全性。
实际上你让它变得不那么安全了。理论上,但无论如何。
我觉得哈希问题被高估了。
没有人关心任何其他安全问题,但每个人都渴望在十亿年内使哈希值牢不可破。放松,伙计。还有数千种其他方法可以破坏您的应用程序。
【讨论】:
我想加盐就够了,但如果你想要更多,可以这样做:
sha1($salt. sha1($salt. $pass));
让$salt 包含一些非打印字符、任意二进制数据或类似的东西。
再一次,我想这不会增加太多,因为我看到实现只添加了 $salt,但为什么不为未来的时代提供更多的安全性:)
【讨论】:
您的密码很可能永远不会 100% 安全。
尝试查看应为每个用户生成的nonce.。
【讨论】:
如果你要这样做,不要只对结果进行 MD5:
$pass = "***";
$salt = "!@)#%%@(#&@_!R151";
$pass = sha1($pass.$salt);
$pass = md5($pass);
相反,对结果和输入运行 md5...
$pass = "***";
$salt = "!@)#%%@(#&@_!R151";
$tmp = sha1($pass.$salt);
$pass = md5($tmp . $pass . $salt);
原因是如果你这样做md5(sha1()),你基本上会增加碰撞的机会。原因是所有sha1 冲突将自动成为md5 调用中的冲突(因此它是冲突的超集)。通过重新输入密码和盐,您可以防止这种情况发生,从而创建一个“更强”的哈希而不是一个更弱的哈希......
【讨论】:
md5 冲突会让你进入。情况总是如此。但是如果你只做md5(sha1(stuff)),你可以找到md5 碰撞或 sha1 碰撞。要么会让你很好。而如果你这样做md5(sha1(stuff) . stuff),你正在消除这个问题。至于为什么要多次hash,你可以看more about it in this question/answer...哦,我也不建议使用这种方法(md5(sha1())),只是IF用了。。 .
sha512),但这并不意味着这样做是“坏事”。我给出的答案指出了他提供的解决方案中的一个根本缺陷(尽管很小)......