shi*_*pou 8 php openssl mcrypt
我需要提高我们网站的安全性,目前正在使用这里的指南:http://crackstation.net/hashing-security.htm,以及随机密码的生成:https://defuse.ca/generating -random-passwords.htm.我收集到两者都使用函数mcrypt_create_iv()生成随机字节(或位?),但由于某种原因,我在CentOS 6下安装php-mcrypt时遇到错误.幸运的是,第一个链接说openssl_random_pseudo_bytes()是CSPRNG(以及PHP文档和其他来源也支持该声明),并且可以在PHP 5.4的当前服务器安装上使用,因此我别无选择,只能使用它.考虑到这些,我想问以下问题:
直接代码替换是否足以影响安全性?(也就是说,只是将呼叫替换mcrypt_create_iv()为openssl_random_pseudo_bytes()会这样做?)
关于代码中提到的常量(http://crackstation.net/hashing-security.htm#properhashing),指南说"确保你的盐至少和哈希函数的输出一样长." 我是否正确地假设PBKDF2_SALT_BYTES并且PBKDF2_HASH_BYTES都被设置为24字节,因为pbkdf2()函数的输出将只是24字节,而不是32(对于256位),因为使用的基础算法是sha256?(是的,我也在使用键拉伸.)在相关的说明中,是24字节,或者应该增加/减少,这会产生什么影响?
感谢那些愿意回答的人.
openssl_random_pseudo_bytes($len, true)和mcrypt_create_iv($len, MCRYPT_DEV_RANDOM)).PBKDF2_SALT_BYTES仅用于测试功能create_hash()而不是pbkdf2()本身.所以你只需要使用那些CSPRNG实现自己的salt生成函数.