【发布时间】:2011-11-26 06:33:32
【问题描述】:
似乎 phpbb、mybb 和 vbulletin 以及我遇到的其他人都使用 md5。我想用更安全的东西(sha或只是内置的crypt('password',“$salt”))与我的主站点的身份验证集成,但不想将依赖关系分解成碎片,所以它变成难以升级。有什么想法吗?
【问题讨论】:
-
首先,(虽然我也使用 SHA256+)我认为您可能会发现具有良好密码/短语和用户盐 + 站点盐的 MD5 是不可破解的。当然,您听说过有关通过暴力破解尝试破解简单密码是多么容易的报告——但您也可以使用 SHA2 来做到这一点。任何散列方案都需要比简单的 7 个字符密码更多的熵。见xckd.com/936
-
这个问题没有帮助恕我直言。例如,MyBB 使用
md5算法,但它使用盐等,所以我真的想知道 OP 在这里关注什么。 -
@Col。 Shrapnel MD5专为速度而设计,这使得暴力破解变得容易。 F-secure 不久前写过an article。
-
@Xenocross MD5 最大的问题之一是它容易发生冲突。这意味着您是否拥有“安全”密码并不重要,如果您加盐也没关系。攻击者所需要的只是找到具有相同摘要的字符串。
-
@IgnacioVazquez-Abrams 我有一个关于差异的问题,也许你可以回答? stackoverflow.com/questions/7574023/…
标签: php security integration forum