bat*_*tad 2 php hash sha bcrypt password-encryption
这是我目前在PHP/SQL项目中的密码哈希程序...
hash('sha512', $password.$salt.$pepper, TRUE)散列和盐在DB中以二进制形式存储,主要是出于习惯.我认为它在安全方面没有任何区别.如果有的话,它对SQL备份来说稍微不方便,并使PHP代码看起来稍微复杂一些.
是hash()与SHA-256和SHA-512通常被认为已被bcrypt这些天superceeded?
我相信SHA-2(256/512)仍然被认为是加密安全的,我可能过度使用了熵位.与攻击者从数据库转储中反向设计SHA-2哈希相比,我的代码中的缺陷更有可能导致问题.
但是,我是否应该更新我的方法以继续使用crypt()CRYPT_BLOWFISH(我相信这被称为bcrypt,而blowfish在技术上是一种密码而不是哈希算法)?
即使只是作为未来的最佳实践?
我并不特别关心算法的计算费用(在合理范围内).这只是在您创建帐户,更改密码或在您进行哈希比较时登录时的一个因素.这些活动构成了一小部分页面浏览量.我想在某种程度上越慢越好,如果它使服务器更难以生成,那么它将使攻击者的工作更慢到暴力.
干杯,B
如果你可以等到php 5.5,那么内置的内容会有一些有用的功能:
https://gist.github.com/3707231
直到那时,使用crypt - 您可以查看新功能的这个前向兼容端口:
https://github.com/ircmaxell/password_compat