首先,md5和sha1已被证明可以抵御碰撞攻击,并且可以很容易地彩虹化(当他们看到你的哈希在他们的公共密码数据库中是相同的时).
目前有两个对密码足够安全的东西,您可以使用.
第一个是sha512.sha512是SHA2的子版本.SHA2尚未被证明可以抵御冲突攻击,而sha512将生成512位哈希.以下是如何使用sha512的示例:
<?php
hash('sha512',$password);
另一个选项叫做bcrypt.bcrypt因其安全的哈希而闻名.它可能是最安全的一个,也是最可定制的一个.
在您想要开始使用bcrypt之前,您需要检查您的服务器是否已启用它,输入以下代码:
<?php
if (defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) {
echo "CRYPT_BLOWFISH is enabled!";
}else {
echo "CRYPT_BLOWFISH is not available";
}
如果它返回它已启用,那么下一步很容易,你需要做的就是加密密码了(注意更多可自定义,你需要看到这个如何在PHP中使用bcrypt进行散列密码?):
crypt($password, $salt);
现在回答你的第二个问题.盐通常是一个随机字符串,您在散列它们时在所有密码的末尾添加.使用salt意味着如果有人获取您的数据库,则无法检查常用密码的哈希值.使用彩虹表调用数据库.散列时应该总是使用盐!
以下是我对SHA1和MD5冲突攻击漏洞的证明:
http://www.schneier.com/blog/archives/2012/10/when_will_we_se.html,http://eprint.iacr.org/2010/413.pdf,http://people.csail.mit.edu/yiqun/SHA1AttackProceedingVersion.pdf,http://conf.isi.qut.edu.au/auscert/proceedings/2006/gauravaram06collision.pdf并了解sha-1碰撞弱点