crypt() 的替代方法

Question

我正在编写脚本并需要保存密码。出于开发目的，我一直使用 crypt() 函数，因为它简单且可用。现在我已经完成了大部分工作，我想用更好、更一致的东西来替换它。

我担心的一些问题是：

• 并非所有系统都支持所有算法，
• 有时盐会预先添加到结果中（似乎是一个安全问题）

我想要一些可以与 PHP 4.3+ 一起使用的东西。

有什么可用的，或者我应该坚持使用 crypt() 吗？我考虑过使用md5(md5($password).$salt)。感谢您的见解。

Answer 1

crypt没有任何问题，

如果你的服务器不支持，请使用其他服务器。

您应该永远使用MD5来散列密码（甚至SHA1）

使用bcrypt（crypt的河豚方法）或

pbkdf2是 pbkdf2 的实现：
使用 PHP 加密密码使用 RSA PBKDF2 标准进行存储

有关原因和方式的更多信息，请参见此处：

• 我应该使用哪种密码哈希方法？
• 安全专家是否推荐使用 bcrypt 进行密码存储？

Answer 2

首先：预先添加盐并不是安全问题。拥有每个密码的盐是一个很大的好处，并且将其与密码一起存储是完全可以的。

现在：只要您不将密码哈希从一个系统传输到另一个系统，并且后者不支持第一个系统的默认算法，那么根据定义就不会发生任何不好的情况。自 PHP 5.3 起，PHP 中就有内置算法，例如 Blowfish，保证可用。