当前位置：文江博客话题详情

在 MySQL 表中存储用户密码的最佳 PHP 哈希方法？

发布于 2024-11-17 02:23:05 字数 171 浏览 2 评论 0原文

我已经阅读 Stack Overflow 问题大约 15 分钟了，每一个问题似乎都与我之前读到的问题相矛盾。 Bcrypt、SHA1、MD5 等。我目前对我的密码进行 MD5，但我想让我的数据库在发生泄露时更加安全。

我知道这个问题已经被问了一百万次，但我似乎在其他地方找不到合适的答案。

谢谢。

原文

分享到QQ

分享到微博

如果你对这篇内容有疑问，欢迎到本站社区发帖提问参与讨论，获取更多帮助，或者扫码二维码加入 Web 技术交流群。

发布评论

需要登录才能够评论，你可以免费注册一个本站的账号。

濫情▎り 2024-11-24 02:23:05

你之所以会看到相互矛盾的答案，是因为没有正确的答案。您应该使用您的应用程序可以支持的最安全的方法。更安全=更多开销。

MD5 已被破坏和破解。

根据这篇文章，SHA1 已被破坏。然而它还没有被破解。

（据我所知）bcrypt 尚未被发现被破坏。

如果有足够的 CPU 周期，任何散列或加密算法最终都可以被绕过。您的决定应该平衡数据的安全性和应用程序的性能。

考虑到这些警告，bcrypt 是目前事实上的标准。它是为强度而不是速度而设计的，并且不会被损坏。有关 bcrypt 的信息索引，请参阅维基百科上的 bcrypt 文章。

回复收藏 0 原文

行至春深 2024-11-24 02:23:05

我会选择 bcrypt。它大大降低了生成彩虹表的能力。

http://codahale.com/how-to-safely-store-a-密码/

需要注意的是，盐对于防止字典攻击或暴力攻击是没有用的。您可以使用大量盐或多种盐或手工采摘、遮荫生长的有机喜马拉雅粉红盐。考虑到数据库中的哈希值和盐值，它不会影响攻击者尝试候选密码的速度。

回复收藏 0 原文

拍不死你 2024-11-24 02:23:05

首先，MD5 如今并不是一个很好的选择。如果攻击者能够访问您的数据库并获取 MD5 哈希值，那么几乎可以肯定他也能够破解它们。弱密码的 MD5 哈希值甚至可以被普通计算机暴力破解。

您应该在谷歌上搜索一些有关对哈希值加盐的文章，并将该方法与更强的哈希算法（至少是 SHA1）结合使用，并且可能重复该过程几次。

我不打算写关于加盐的文章，因为已经有很多关于它的文章了，而且在 Stack Overflow 上你可以找到很多关于这个问题的很好的讨论。
例如
为什么盐使字典攻击“不可能”？
或者
密码盐如何帮助抵御彩虹表攻击？

回复收藏 0 原文

自在安然 2024-11-24 02:23:05

使用 MD5、SHA1 或您想要的任何加密方式以及 SALT。

对于这个例子，我只是为了解释而使用 MD5。

因此，用户选择一个密码，例如将其存储在 $password 中。

现在创建一个特定于您的应用程序的盐。

$salt = 'my very own salt'; // or maybe make a random string for your salt

然后这样做

$more_difficult_password = md5($salt . $password);

，这样人们就不能通过谷歌搜索您的 MD5 字符串来使用字典攻击（如果它以某种方式受到损害）。

Use MD5, SHA1 or whatever encryption you want with a SALT.

For this example, I'm just going to use MD5 for explanation sake.

So user chooses a password, store that in $password for instance.

Now create a salt that's specific to your application.

$salt = 'my very own salt'; // or maybe make a random string for your salt

Then do

$more_difficult_password = md5($salt . $password);

This way people can't use dictionary attacks by just googling your MD5 string if it ever got compromised somehow.

回复收藏 0 原文

话少情深 2024-11-24 02:23:05

当用户注册时，使用例如以下函数创建随机salt：

$bytes = 50;
$salt = base64_encode(openssl_random_pseudo_bytes($bytes));

将其存储在数据库表中。最好的方法是将其存储在外部数据库中。之后，创建一个随机代码并将其与您的盐一起存储到外部数据库中。与将随机代码存储在您的用户表中相比，攻击者几乎不可能找到您的盐。

之后，存储您的密码，例如，这样：

$password_to_store_in_mysql = hash('sha512', $salt . $user_password);

当用户登录时，从外部数据库中获取盐并检查盐和密码是否匹配。

When a user registers, create a random salt using, for example, the following function:

$bytes = 50;
$salt = base64_encode(openssl_random_pseudo_bytes($bytes));

Store this in a database table. The best is to store it in an external database. After this, create a random code and store it together with your salt into the external database. Than store the random code in your users table and it will almost be impossible for an attacker to find your salt.

After this, store your password in, for example, this way:

$password_to_store_in_mysql = hash('sha512', $salt . $user_password);

When a user logs in, get the salt out of the external database en check if the salt and the password match.

回复收藏 0 原文

枕梦 2024-11-24 02:23:05

您可以使用您网站的密钥和每个用户的特定盐与您的密码。您网站的密钥应保存在数据库中，然后提取并使用。

组合就变成了。

$secret = "your key from database";
$salt = "user salt";// make it randomly
$password = $_POST['password'];

$new_pass = md5($secret.$salt.$password);

现在这个组合将存储在数据库中。

登录时再次使用该组合进行匹配。

我认为它可以更好地帮助保护您的应用程序。

干杯..！！

You can use secret key of your website and particular salt of every user with your password. Your secret key of your website should be saved in your database and then fetch it and use.

The combination becomes.

$secret = "your key from database";
$salt = "user salt";// make it randomly
$password = $_POST['password'];

$new_pass = md5($secret.$salt.$password);

Now this combinations will store in database.

At the time of login, use again this combination to match.

I think it can help more to secure your application.

Cheers..!!

回复收藏 0 原文

~没有更多了~