如何安全地存储密码以供服务器端使用？

Question

我正在寻找一种安全的方法来将 FTP 密码存储在仅可由特定用户使用的数据库中。 FTP 详细信息的存储方式应确保即使整个数据库暴露，FTP 密码也不会暴露。这可能应该依赖于用户的密码，仅当用户提示进行 FTP 操作时才临时解密 FTP 密码。我正在寻找可以实现此目的的解决方案。添加它涉及使用 javascript 和 php 的基于 Web 的应用程序可能很有用。

这不是关于如何使用 salt、散列、md5、sha1 等。这是关于保护服务器应该能够使用的 FTP 密码，例如连接到 FTP 服务器。这对于哈希来说是不可能的，因为这只是一种方法。应该使用一些对称密码方法。

示例用例：

• 用户登录到服务器
• 用户告诉服务器从安全存储在服务器上的 FTP 详细信息中下载文件
• 服务器查找 FTP 详细信息并删除加密（可能使用用户密码） 这个问题是关于如何有效地实施此步骤
• 服务器执行它必须执行的操作，然后删除未加密的密码

Answer 1

您可以使用 Mcrypt： http://php.net/manual/book.mcrypt.php

Answer 2

编辑：虽然以下内容似乎不再适用于该问题（现在似乎想要针对用户帐户运行 FTP 操作（未通过通用身份验证机制连接），但这需要可逆的计划），我离开它是因为我认为它包含有价值的信息。

我建议阅读彩虹表已经足够了：关于安全密码方案您需要了解的内容。

它可能会回答许多问题，包括盐是什么（如何防止彩虹攻击）、为什么 MD5 不是密码哈希的理想解决方案（它太快并且不再需要“重大的加密突破”）、什么如果数据受到损害（为什么不存储纯文本）等，就会发生这种情况。它提供了有价值的见解。

我真的很喜欢这句话：

<块引用>

不，真的。使用别人的密码系统。不要构建自己的。

这是非常真实的，即使是半开玩笑的。

Answer 3

听起来您正在寻找的是 MD5 哈希值。

http://en.wikipedia.org/wiki/MD5

将密码存储到数据库，为了进一步提高安全性，您可能还需要研究对密码进行加盐处理。

http://en.wikipedia.org/wiki/Salt_(密码学)