【发布时间】:2012-08-06 02:51:47
【问题描述】:
我一直在建立一个 Wordpress 网站,并且刚刚阅读了有关在数据库中存储密码和密码哈希的信息。我理解整个概念 - 它是一种将密码转换为(看似)随机十六进制字符串的算法,但以可预测的方式进行,因此可以存储密码并再次用于在登录时进行检查。
知道了。要实现这一点,我从哪里开始?我要下载什么,它在我的站点目录中的位置,我如何称呼它等等。任何帮助将不胜感激。另外,不挑剔使用哪种散列算法,我听说 MD5 和 SHA-1 是最好的。
【问题讨论】:
-
我建议使用 bcrypt 之类的东西,因为虽然 MD5 和 SHA-1 擅长散列,但它们对于密码安全性并不理想。 en.wikipedia.org/wiki/bcrypt
-
wordpress 已经对密码进行了哈希处理,大多数带有登录名的现代网络应用程序也是如此 - 这就是为什么您的密码在大多数网站上被重置的原因,因为当他们不知道密码时,他们无法将您的密码发送给您. . . .
-
MD5 不是最好的。事实上,它已经严重损坏,通常应该避免任何与安全相关的事情。已知的攻击不会(必然)对这种特定情况造成问题,但它们足够重要,最好避免。
-
您绝对应该为此使用库,而不是编写任何您自己的代码来实际计算哈希和。它还有很多,比如迭代哈希和使用盐。希望有一个您可以使用的
bcrypt实现,但是如何为 Wordpress 配置它可能是在Wordpress site. 上提出的一个更好的问题
标签: algorithm wordpress passwords hash