0

我目前有一个非常简单的基于 PHP 的登录系统,它适用于 android、iOS 和 web,但我想使用一些更安全的东西。我当前的设置只是传递用户名和 md5 格式的密码来对我的数据库进行身份验证。

是否有人们推荐使用的框架。我听说过使用 PHP 的 oAuth 和 HMAC,但我不确定这些对于我需要的东西是否过大。

有什么想法吗?

4

1 回答 1

2

对于初学者来说,MD5 不再被认为是安全的。使用现代硬件暴力破解太容易了。

其次,如果您通过网络发送 MD5 并且这就是您在数据库中拥有的内容,那么您实际上是在使用密码的 MD5 作为密码。这意味着您正在通过网络发送未加密的密码。想想看——攻击者只需要捕获 MD5 并将其发回,如果他们想闯入——你并没有从中获得任何实际的安全性。

只需通过 SSL 发送纯文本用户名和密码。将其与合并了密钥的服务器端安全哈希(如今,bcrypt 被认为是要走的路)进行比较。如果您的数据库受到损害,这将限制风险。

于 2013-02-27T18:25:36.653 回答