我想问一下是否可以为每个用户生成一个唯一的盐,然后像这样散列它,
sha1(sha1($password . $salt))
所以 $salt 是一个随机生成的字符串?
如果是,我将如何在登录时加密密码?
Xenforo 使用它,我想知道如果他们为每个用户使用唯一的盐,他们如何加密密码?
非常感谢。
问问题
1283 次
1 回答
6
不要制作自己的密码散列算法。它很容易被破解,并且当您的数据库遭到破坏时,您的用户不会感激他们的密码被盗。
Bcrypt 和其他经过充分测试的哈希已经这样做了:
>>> bcrypt.generate_password_hash('password', 15)
'$2a$15$bzaLXuer1C8dtSckDp3AI.eOoL/nOTsSdpjEMyDMcJ3ZQELdRcLzq'
>>> bcrypt.generate_password_hash('password', 15)
'$2a$15$Ye.cFInKhzo1KvAJGSi6yORV5uEqeW.Z1oAhdfi.163Psz4YPA3CO'
随机盐和轮数存储在散列本身中,由分隔符分隔,这让恒定时间密码检查功能从生成的散列字符串中挑选盐。
如果出于其他原因需要创建安全随机字符串,请使用openssl_random_pseudo_bytes():
$bytes = openssl_random_pseudo_bytes(64, true);
$hex = bin2hex($bytes);
于 2013-03-25T00:42:04.753 回答