这看起来像是密码的强盐吗

发布于 2024-10-03 19:51:59 字数 147 浏览 0 评论 0原文

这看起来像是与密码一起使用的安全盐吗？有什么改进或建议或明显的缺陷吗？

$salt = '';
for ($i = 0; $i < 50; $i++) {
   $salt .= chr(rand(33, 126));
}

原文

Does this look like a safe salt to use with a password? Any improvements or suggestions or obvious flaws?

$salt = '';
for ($i = 0; $i < 50; $i++) {
   $salt .= chr(rand(33, 126));
}

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

城歌 2024-10-10 19:52:00

您不需要将盐设置得很长，而且它们的加密安全性并不重要。盐的目的只是让彩虹表攻击变得更加困难，因为密码和哈希值之间不再有一对一的映射。（它们还可以防止管理员在数据库中看到 482c811da5d5b4bc6d497ffa98491e38，然后知道 Joe 的密码是“password123”。）

即使是 4 字节的 salt 也绰绰有余，因为您现在有 2³² 任何密码都有 40 亿个潜在的哈希值。

回复收藏 0 原文

近箐 2024-10-10 19:52:00

我不认为 rand 是一个好的 PRNG。如果我没记错的话，它直接映射到 c PRNG，它在许多实现中具有非常小的（如 32 位）内部状态。

而且它的种子也不好。但由于盐最重要的作用是防止预先计算的彩虹表（此代码就是这样做的），因此它应该足够了。

我通常将盐分为两部分：

存储在数据库中的每个随机的每个用户部分以及
存储在配置文件中的每个应用程序盐的哈希值 A。

这样，攻击者只能访问数据库而不能访问配置文件（如果攻击使用 SQL 注入，则可能出现这种情况），那么他仍然无法破解密码。

回复收藏 0 原文

许一世地老天荒 2024-10-10 19:52:00

我会使用 mt_rand 因为它更快，但这对于盐来说绝对足够了。

回复收藏 0 原文

吐个泡泡 2024-10-10 19:52:00

盐的安全性主要取决于长度。随机性并不是非常重要，只要它对每个用户来说都是不同的即可。无论如何，您最终都会以纯文本形式存储它，以便您可以在散列过程中使用它。

回复收藏 0 原文

~没有更多了~

关于作者

幼儿园老大

暂无简介

0 文章

0 评论

22 人气

关注发私信

花开柳相依

文章 0 评论 0

关注

zyhello

文章 0 评论 0

关注

故友

文章 0 评论 0

关注

对风讲故事

文章 0 评论 0

关注

Oo萌小芽oO

文章 0 评论 0

关注

梦明

文章 0 评论 0

友情链接

文江博客

这看起来像是密码的强盐吗

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

评论（4）

关于作者

相关话题

热门标签