Rya*_*yan 7 php security crypt
例如,对于河豚,它会返回如下内容:
$2a$12$DEzG.CRsHpxpTOAHooQ.wuR6Xe9h6PxFPhOcOvf.lqDNw1TVYVnEO
它包含有关散列alg类型的信息,它包含salt.很多资源都说只是将这个值存储在数据库中,它将是安全的.但是,有人可能只是测试一个针对这些值的常用密码列表来破解它们中的一些吗?
密码散列的安全性不是来自秘密信息.您已经丢弃了实际的秘密,即作为哈希值基础的密码.剩下的哈希只是这种原始数据的一种指纹.安全性来自于无法从散列中导出原始数据的事实.唯一的可能性是尝试所有可能的密码,看看哪个产生相同的哈希.这里的安全性来自这样的事实:这在计算上非常昂贵并且不可能在有用的时间内成功.
仅引入salt以防止某人使用已经预先计算的已知散列密码集,迫使攻击者实际使用唯一的salt重新散列所有可能的密码.盐本身并不是秘密,哈希算法也不是.
简而言之:是的,该值绝对安全存储在数据库中.
crypt()专门生成要存储的哈希。不管您的密码哈希方案是什么,如果有人掌握了您的数据库内容,他们将能够暴力破解您的密码,并且您根本无法选择不存储密码哈希。crypt()专门选择所应用的算法,因为它们需要大量时间来计算哈希值;当您仅测试一个密码时,这并不明显,但是强行使用成千上万个密码变得不切实际。
| 归档时间: |
|
| 查看次数: |
3263 次 |
| 最近记录: |