会强多少
return sha1($salt.sha1($passwd));
被比作:
return sha1($salt.$passwd);
$salt 是长度为 12 的每个用户字符串,由强随机 ASCII 组成。
【问题讨论】:
乍一看,如果没有深厚的加密知识,我会说它一点也不强大。
顺便说一下,通常建议使用
sha1($login.$salt.$passwd);
这样两个密码相同的用户就不会拥有相同的哈希值。
【讨论】:
据我所知,强度没有区别。
由于在密码哈希之前添加盐是常见的做法,因此攻击者通常知道盐。但这并没有违背盐的目的。
一般来说,将 $login/$username 添加到散列(Vinzz 的解决方案)中并不是一个好主意,因为如果用户更改他或她的用户名会导致问题。更好的解决方案是使用 随机盐。
使用的散列算法确实有所作为。 SHA1 被认为是 cryptographically broken,不应用于散列密码。
一般来说BCRYPT(一种基于 Blowfish 的自适应成本散列算法)被认为是最好的实践(PHP 的 crypt(); 的CRYPT_BLOWFISH 标志)
其他可靠的选项是 SHA256 及更高版本。
编辑:
我在这里写了一个关于加盐的更长答案:stackoverflow.com/questions/1645161/salt-generation-and-open-source-software/
【讨论】:
它的强度正好是原来的两倍,因为攻击者需要执行两倍的 SHA1 计算才能进行蛮力攻击。
当然,这仍然不是很令人印象深刻。另一方面,在一个循环中执行 SHA1 5000 次对于授权来说是可行的,但会使攻击花费 5000 倍的时间——这种技术被称为key strengthening。然而,它实际上只是 Jacco 提到的适应性成本哈希算法的穷人替代品。
【讨论】: