MD5 与密码编码？

Question

我正在为一个站点构建一个受密码保护的登录系统，并且遇到了两个 MySQL 函数来加密用户的密码：MD5() 和 ENCODE()。

它们似乎都对其进行了加密，但我想使用更安全的一个。这里是否有明显的赢家，或者这只是一种偏好情况？谢谢！

Answer 1

使用 bcrypt。不要使用 md5() 或 encode()。

Answer 2

以下是每个功能的简要说明：

• 编码：对字符串进行编码（不加密），也可以解码。任何可以运行 decode 的人都可以访问密码。
• MD5：加密字符串，并且不应该是可解密的。确定密码是否正确的方法是通过比较两个加密字符串。但是，算法存在严重缺陷，不应使用。
• SHA2（字符串，512） ：加密字符串，并且不应被解密。确定密码是否正确的方法是通过比较两个加密字符串。这个算法比MD5强得多。

当涉及到使用哈希值（单向加密）时，对你的哈希值进行加盐是一种很好的做法。哈希值。这可以防止潜在的攻击者使用已知哈希值的数据库来快速发现密码。

简而言之，encode 是完全不安全的，MD5 是不安全的，而带有 salt 的 SHA2(string, 512) 也是一个不错的选择。

Answer 3

MD5、SHA1等算法不是加密，而是将任意长度的源文本散列成固定长度的输出字符串。并且不要使用它们来保护您的用户的密码。

告诉你一个好办法。问一个秘密问题。这个秘密问题的答案将是我们密码加密算法的秘密密钥。现在您使用 MD5 或其他任何方式来散列这个答案。现在使用此哈希作为密钥加密密码（使用对称密钥算法，例如 AES）。这在某种程度上会有所帮助，这样如果用户忘记了密码，那么只有该用户而没有其他人能够恢复密码。