这种密码存储方式安全吗？

Question

我只是在想，使用从密码本身创建的盐来创建密码哈希是否可以安全使用。这是 php 中的一个例子：

<?php
$pass = $_GET['pass'];
$salt = hash('whirlpool', $pass);
$pass = md5(hash('whirlpool', $salt.$pass));
echo $pass;
?>

这有意义吗？

问候。

Answer 1

盐的目的是使每个人的密码都是唯一的。因此，在这种情况下，当给出相同的原始密码时，仅对他们的密码进行散列并将其添加为盐仍然会使 2 个用户的最终散列密码相等。最好为每个用户提供一个随机盐并将其存储在数据库中的密码旁边。

Answer 2

无需对密码进行哈希、重新哈希和重新哈希。

使用具有良好哈希码算法的盐是一件好事，但您需要强制您的用户发送具有最小大小和字母数字字符的强密码

注释：

• 使用 sha1 比 md5 更好。
• 使用好的salt（感谢@John Bartholomew）
• 强制您的用户创建强密码

Answer 3

我这样做

<?php

$my_key = "myapp";
$temp_pwd = htmlentities(trim($_POST['password']));
$hashed = sha1($my_key.$temp_pwd);

save $hashed in database on signup
and with every login attemp merge the input password value with your key and make a hash of it and than compare with database password value


?>

Answer 4

您可以保护您的密码和盐。

1. 使用 SHA256 或更高版本（2012 年），未来几年它必须更高。

2. 为每个用户使用不同的盐。

3. 使用计算出的盐。

4. 创建一个 16 到 32 字节的 Salt 并将其存储在数据库中，称为“DBSalt”。

5. 创建任何旧算法来操纵盐，但仅将算法保留在代码中。即使是像 DBSalt + 1 这样简单的东西也是有用的，因为如果有人获取了您的数据库，他们实际上并没有正确的盐，因为正确的盐是计算出来的。

6. 按如下方式计算您的密码：

   CreateHash(saltAlgorithm(dbSalt),password);

7. 您可以通过以不同方式操作 DBSalt 的算法列表来增加安全性。每次用户更改密码时，您也会对 DBSalt 使用不同的计算

8. 您可以通过将这些算法存储在
   Web 服务器位于您的系统外部，因此如果您的数据库和代码都获得
   被黑了，他们仍然没有你的盐。

   1. 您还可以通过设置之前和之后的盐来提高安全性，或者两者都加盐，而数据库本身无法提供此信息。

“您可以通过...提高安全性”的评论层出不穷。请记住，每次增加安全性时，都会增加复杂性、成本等...

如何有效地对数据库中存储为哈希值的密码加盐