0

我正在使用用户名、强随机盐和 php 中的盐渍/散列密码创建一个更安全的用户密码表,如下所示:

$salt = bin2hex(openssl_random_pseudo_bytes(64));
$pass = hash_hmac('sha512', $plainTextPass, $salt);
$this->user->password = $pass;
$this->user->salt = $salt;
$this->user->save();

我正在尝试在 MySQL 中重现此功能,但运气不佳。从脚本部署数据库服务器时,我需要创建一些用户。据我了解,hash_hmac 方法只需要盐,将密码附加到它,然后用 sha 512 对其进行散列。似乎这在 MySQL 中很容易做到,但是这个:

INSERT INTO `users` (`email`, `username`, `password`, `salt`) 
VALUES('test@example.com', 'admin', SHA2('9d1ebf3559baf9ffca61df5cec0b9eb067ae7912d097ad45f3a3086c39bf11292d92a7dfad497557fac7fbf7c24209db8b7696664d54c7e6bc55f720121bd38dadmin', 512), '9d1ebf3559baf9ffca61df5cec0b9eb067ae7912d097ad45f3a3086c39bf11292d92a7dfad497557fac7fbf7c24209db8b7696664d54c7e6bc55f720121bd38d');

在这种情况下,盐只是我手动生成的硬编码,您可以看到我只是将密码“admin”附加到密码字段的末尾。该用户创建,但我无法使用该管理员用户名和密码登录。

我应该在 MySQL 中以不同的方式执行此操作吗?

4

1 回答 1

1

HMAC不是通过级联计算的,而是如下计算(有关更多详细信息,请参阅链接)。

HMAC (K,m) = H ((K ⊕ opad) ∥ H ((K ⊕ ipad) ∥ m))

但是,顾名思义,它是消息验证码,而不是密码散列方案。为密码散列设计的算法将是更好的选择。scryptbcryptPBKDF2将是一个不错的选择。

于 2013-06-05T15:49:20.597 回答