我的主机提供的最佳哈希算法

Question

我正在寻找一种很好的单方式加密/哈希，以使用主机提供的一种算法来安全地存储密码。

这是主机提供的所有算法的列表： http://wwwww.eresig.tk/hash.php

Answer 1

以上都不是。通用哈希功能的问题在于它们很快，这意味着攻击者可以很快地实际上很快使用大量密码，并且随着计算机的速度，前景看起来更加隐蔽。

使用 bcrypt 在PHP中，从5.3.0开始支持所有平台。如果您使用的是旧版本的PHP，则可以使用

BCrypt的优点是它具有一个工作因素，您可以将其设置为减慢哈希过程。您不太担心是否要花费更多时间检查给定密码是否有效，但是攻击者需要更长的时间才能进行攻击密码。

如果您想超越这一点，您可能还需要查看 scrypt 。

Answer 2

在这个狂热的程序员网站上，散列问题被夸大了。就哈希密码而言，任何算法都足够了。特别是当这个问题与通常的 php 应用程序的其他部分相比时。在普通的 PHP 站点上使用一些强哈希就像在草屋的纸门上使用安全锁一样。

如果您确实希望防止用户密码被网站上的某些漏洞窃取（虽然您应该更加关注此类漏洞），然后暴力破解，然后在其他网站上针对这些用户使用密码，那么您真正应该关心的事情of 是密码强度和盐，而不是哈希算法本身。 没有散列技术可以保护像“1234”或“joe”这样的愚蠢通行证。

因此，md5 + 强密码 + 平均盐 比普通密码 + super-extra-cool_hash 更好，而且足够了。

Answer 3

SHA-256足以用于密码哈希，只需确保为每个用户使用不同的编辑盐即可。盐可能是用户的ID，一个“在”时戳上创建的，与该用户相关的GUID等...您在哈希之前将盐附加到纯文本密码上。

执行某种密码“最佳练习”将有助于避免任何蛮力攻击。不允许用户使用弱密码（小于n个字符，仅包含1个字符的字符，等等）。