SORU
10 ŞUBAT 2010, ÇARŞAMBA


PHP bir oturum için kullanılacak?vs vs md5 SHA1 SHA256:

Php bir giriş yapıyorum, ve başka bir stackoverflow makalede okumuştum olan Md5, SHA1 veya SHA256 kullanılıp kullanılmayacağını karar vermeye çalışıyorum. İçlerinde diğerlerine göre daha güvenli? SHA1/256, hala bir tuz kullanırım?

Ayrıca, bu güvenli bir şekilde mysql bir karma parolayı depolamak için mi?

function createSalt()
{
    $string = md5(uniqid(rand(), true));
    return substr($string, 0, 3);
}

$salt = createSalt();

$hash = sha1($salt . $hash);

CEVAP
10 ŞUBAT 2010, ÇARŞAMBA


İkisi de değil. bcrypt kullanmalısınız. Söz sağlamalarının donanım hızlı ve kolay olması için optimize edilmiş, ve bu yüzden onları çatlama aynı özelliklere sahip. Eğer başka bir seçenek varsa, en azından emin uzun tuz ve re-hash birden çok kez kullanın.

PHP 5.5 bcrypt kullanarak

PHP 5.5 new functions for password hashing bulunmaktadır. Bu tavsiye modern web uygulamaları için şifre saklama yaklaşım.

// Creating a hash
$hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);
// If you omit the ['cost' => 12] part, it will default to 10

// Verifying the password against the stored hash  
if (password_verify($password, $hash)) {
    // Success! Log the user in here.
}

Eğer PHP eski bir sürümü kadar you really should upgrade ama kullanıyorsanız password_compat Bu API göstermek için kullanabilirsiniz.

Ayrıca, lütfen password_hash() tuz oluşturmasına izin. [CSPRNG] (:// . http kullanır

Bcrypt iki uyarılar

  1. Bcrypt sessizce herhangi bir şifre daha uzun 72 karakterden keser.
  2. Bcrypt NUL herhangi bir karakter sonra keser.

(14* *hem uyarılar burada.)

pre-hashing your passwords before running them through bcrypt tarafından ilk uyarı gidermek için cazip olabilir ama bunu yaparken uygulamanızın ikinci güldüler çalışmasına neden olabilir.

Kendi düzenini yazmak yerine, varolan bir kütüphane yazılı ve/veya güvenlik uzmanları tarafından değerlendirilmesi kullanın.

TL;DR- Use bcrypt.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • Atlantic Records

    Atlantic Rec

    15 Aralık 2006
  • Damien Hayes

    Damien Hayes

    11 Mart 2008
  • SelmerSaxMan

    SelmerSaxMan

    24 HAZİRAN 2006