在 PHP 中对密码加盐

Question

有人可以帮助我吗？我一直在阅读有关对密码加盐以使我的密码更安全的内容。我使用的格式是 salt:password_hashed，所以我的代码是 md5($salt.":".$password_hashed)。 $password_hashed 是原始密码的简单 m5d 字符串，哈希值取自 mktime()。

我不明白盐是如何工作的，我是否也需要将其保存在数据库中？如果盐不断变化，这是如何工作的？

如果用户使用密码“password”注册，并且注册时间为 1234567890（作为 unix 时间戳）。生成的密码将是 md5(mktime().":".$_POST['password']) 或类似的内容。但是，如果用户尝试使用“密码”登录，新创建的盐会有所不同吗？

Answer 1

您也必须存储盐，例如，您可以只存储注册日期并将其使用在盐中。

Answer 2

您的盐可以是用户的电子邮件或用户名。

我推荐这种方法：

hash_hmac('sha256', $password, $salt);

Answer 3

盐可以防御彩虹表。保存密码时、创建用户以及更改密码时都会生成盐。您可以将盐作为单独的字段存储在数据库中，但也可以将盐与加密密码连接起来，并将两者存储在一个字段中。由于盐通常具有固定长度，因此以后很容易将两者分开以验证登录密码。

值得注意的是，根据 US-CERT 的说法，md5“被认为在密码学上已被破坏，不适合进一步使用”。您应该改用 sha-256。

Answer 4

我一直在阅读有关对密码加盐以使我的密码更安全的内容。

这真是无稽之谈。没有盐可以使您的密码更安全。

我是否也需要将其保存在数据库中？

是的

如果盐不断变化，它是如何工作的？

这不起作用。

如果用户尝试使用“密码”登录，新创建的盐会有所不同吗？

你觉得怎么样？您不能自己将 mktime() 结果与“1234567890”进行比较（以及生成的哈希值）吗？