C1D*_*C1D 44
首先,md5和sha1已被证明易受碰撞攻击,并且可以很容易地彩虹化(当他们看到你的哈希在他们的普通密码数据库中是相同的时).
目前有两件事对于您可以使用的密码足够安全.
第一个是sha512.sha512是SHA2的子版本.SHA2尚未被证明易受冲突攻击,sha512将生成512位哈希.以下是如何使用sha512的示例:
<?php
hash('sha512',$password);
另一个选项叫做bcrypt.bcrypt因其安全的哈希而闻名.它可能是最安全的,也是最可定制的.
在您想要开始使用bcrypt之前,您需要检查您的服务器是否已启用它,输入以下代码:
<?php
if (defined("CRYPT_BLOWFISH") && CRYPT_BLOWFISH) {
echo "CRYPT_BLOWFISH is enabled!";
}else {
echo "CRYPT_BLOWFISH is not available";
}
如果它返回它已启用,那么下一步很简单,你需要做的就是加密密码(注意:为了更加可自定义,你需要看到这个如何在PHP中使用bcrypt进行散列密码?):
crypt($password, $salt);
salt通常是随机字符串,您在散列它们时在所有密码的末尾添加.使用salt意味着如果有人获取了您的数据库,他们就无法检查常用密码的哈希值.使用彩虹表调用数据库.散列时应始终使用盐!
以下是我对SHA1和MD5冲突攻击漏洞的证明:
http://www.schneier.com/blog/archives/2012/10/when_will_we_se.html,http://eprint.iacr.org/2010/413.pdf,
http://people.csail.mit.edu/yiqun/SHA1AttackProceedingVersion.pdf,http:
//conf.isi.qut.edu.au/auscert/proceedings/2006/gauravaram06collision.pdf并
了解sha-1碰撞弱点
| 归档时间: |
|
| 查看次数: |
105137 次 |
| 最近记录: |