Tar*_*del 7 php migration security phpass
在我更清楚之前,我实现了一个使用md5作为哈希算法的登录系统.现在我知道的更好了,我想转向使用PHPass.我的问题是系统已经投入生产,要求所有用户更改密码将成为所有头痛的母亲.
我想出了一个简单的解决方案,但考虑到我之前的错误,我想确保我不会因为无知而犯同样严重的错误.
我的解决方案如下:
更改
md5($_POST['pass'])至
md5($_POST['pass'])$hasher->HashPassword()$hasher->CheckPassword()根据DB的值检查重新散列的密码为了清楚起见,我只是重新编写了md5版本,因为这是我在数据库中已有的内容.它并不是一种额外的安全措施(尽管如此,那太棒了!).
MD5() 问题在这个狂热的程序员社区网站上被夸大了。这个哈希算法实际上并没有什么不好,特别是与通常的新手应用程序的其他部分相比。在通常的 PHP 站点上使用 phpass 技术就像在草屋的纸门上使用安全锁一样。
为了防止密码被窃取并针对其他网站上的同一用户使用(哦,天哪!),最重要的是密码强度和盐。不是哈希算法本身。没有散列技术可以保护像“1234”或“joe”这样的愚蠢通行证。
所以,md5 + strong password + average salt比usual password + phpass
没有一个单一的理由来 phpass 现有的 md5 哈希值
一个明智的迁移算法是
| 归档时间: |
|
| 查看次数: |
383 次 |
| 最近记录: |