Question

Я хочу создать коммерческий веб-сайт с использованием php, и я хотел убедиться, что мой код для хешированного пароля пользователя был достаточно надежным, чтобы избежать атак с использованием грубой силы.

Обратите внимание, что мой сервер и его версия phpне поддерживает blowfish, поэтому я пытаюсь найти достойный метод хеширования пароля.

$pw = "12341234";
$salt = 'randomchars';
$initial = sha1($pw);
$hashed = md5($salt . $initial);

Есть ли что-то еще, что я должен рассмотреть?любые мысли будут оценены!

Tadeck · Answer 1 · 11 сентября 2011

Я думаю, вы не знаете о том факте, что способ хэширования паролей не влияет на возможность взлома пароля с помощью атаки с использованием грубой силы (например, когда злоумышленник пытается предоставить тысячи возможных паролей) ). Это делает пароль безопасным только в том случае, если кто-то видит значение в базе данных, которое используется для представления этого пароля.

Yusuf ali · Answer 2 · 11 сентября 2011

Для грубой атаки вы можете использовать Google captcha ..

А для кодового пароля вы можете использовать первый md5 и второй sha1, потому что md5 генерирует 32 символа данных sha1 64 ..:)

sanmai · Answer 3 · 11 сентября 2011

Нет необходимости изобретать велосипед, поскольку есть функция crypt.

// generate MD5-hashed password with salt
$password = crypt('mypassword');
// password contains string(34) "$1$bkZO1nIl$y5bzPPwByq.9tYEb64k4e0"

См. Примеры для различных типов хэшей, включая MD5 и SHA256, в руководстве: http://php.net/manual/en/function.crypt.php

Мне этого мало, есть альтернативы:

Как вы используете bcrypt для хеширования паролей в PHP?

Имейте в виду, что если кто-то смог положить руку на вашу базу данных, его способность взламывать пароли пользователей будет наименьшей из ваших проблем.

bcoughlan · Answer 4 · 11 сентября 2011

Ваш фрагмент кажется безопасным. Вы хотите защитить себя от атак радужных таблиц, поэтому двойное шифрование - хорошая идея. Вычислительная мощность даже для генерации списка MD5-хешей открытого текста SHA1 огромна, но все же нет ничего плохого в том, чтобы иметь соль для защиты от такой атаки.

php хешированный пароль

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 5 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

php хешированный пароль

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 5 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов