我想更新我目前仅使用 MD5 的密码设置。
现在我想做的是使用更强大的东西(也许是 sha256)和每个用户唯一的盐。
问题是关于盐的储存。
我是否将盐存储在数据库中自己的列中?
然后hash salt + password,登录时,从数据库中调用salt和password,合成一个。
或者我是否可以通过使用用户名、电子邮件和时间戳来制作盐,这也可以为每个用户提供一个独特的盐?
我想知道,如果有人持有以 salt 为列的数据库,他们会知道每个用户的 salt,然后他们就可以破解密码。
【问题讨论】:
标签: php authentication passwords hash salt
刚刚阅读另一篇文章,有人说盐不是秘密,可以存储在数据库列中。所以这回答了我的问题
【讨论】:
盐不是秘密,它可以与哈希一起以明文形式存储。甚至不需要在数据库中有第二个字段。如果您查看 PHP 的 crypt() 函数,您可以看到,盐值将包含在哈希值本身中。
这是盐的工作,使现有的彩虹表无用,因为必须为一种特定的盐构建彩虹表。为每个散列使用不同的盐将防止彩虹表攻击,因为您必须为每个散列创建一个彩虹表。这就是为什么不需要对盐保密的原因。
我建议,如果你想改进你的密码哈希系统,你做对了,使用一个慢的哈希函数。文章password hashes with bcrypt 解释了为密码生成哈希的要点。
最后但同样重要的是,不要害怕正确执行,您的应用程序代码可以像您当前使用 MD5 实现一样简单。
【讨论】:
忘记 MD5 或 SHA。使用 Bcrypt。 (Blow Fish Crypt) 自带 PHP 5.3 及更高版本。 (crypt 方法 2a)它更安全,处理速度更慢。
使用 Bcrypt 时,盐与哈希一起存储在同一个 feild 中。没有理由分开一个。
【讨论】: