加密/解密方法

Question

我知道关于这个问题还有十几个问题。但我想知道使用 sha1、sha512 等哈希方法对登录系统的密码进行加密是否会更好，或者使用 Mcrypt 密码会更好吗？

我知道使用 sha 等哈希方法加密后解密是不可能的，如果使用 mcrypt 加密则可能。但是使用 mcrypt 是否安全，因为您也可以解密？

Answer 1

密码不得可恢复。对它们进行哈希处理的目的是确保如果数据库遭到破坏，攻击者无法访问每个密码，从而无法访问每个用户的帐户（以及重复使用该密码的其他服务上的每个帐户）。

Answer 2

对于稍后不需要明文密码的密码存储，您始终应该使用哈希函数。这样您就可以检查密码，但潜在的攻击者无法找出纯文本密码（当用户始终使用相同的密码时，这是相关的）

Answer 3

密码不得恢复。因此，您需要使用哈希算法。最流行的是MD5和SHA1。我不建议使用 MD5，因为它很容易受到攻击，而且有很多预先生成的哈希值。 SHA1 更好，但它也有一些不足。最安全的是基于

Wikipedia 上有一个很好的安全级别表。如果你选择了，你应该谷歌“对[算法]的碰撞攻击”和[对[算法]的原像攻击”来查看是否存在攻击（维基百科可能已经过时）。

另外，不要忘记加盐。意味着您散列 $string+"Whatever" 而不是 $string。