Questions tagged «password-hash»

16
“双哈希”密码是否比仅哈希一次密码安全性低?
与仅对一次哈希进行哈希处理相比,对密码进行两次哈希存储之前或多或少的安全性高吗? 我在说的是这样做: $hashed_password = hash(hash($plaintext_password)); 不仅仅是这样: $hashed_password = hash($plaintext_password); 如果它的安全性较差,您能提供一个很好的解释(或一个链接)吗? 另外,使用的哈希函数是否有所不同?如果混合使用md5和sha1(例如)而不是重复相同的哈希函数,会有什么区别吗? 注意1:当我说“双重哈希”时,我说的是两次对密码进行哈希处理,以使密码更加模糊。我不是在谈论解决冲突的技术。 注意2:我知道我需要添加随机盐以确保其安全。问题是,使用相同算法进行两次哈希处理是否有助于或损害哈希。

6
如何安全地存储用户密码?
这比普通的MD5安全多少?我刚刚开始研究密码安全性。我对PHP很陌生。 $salt = 'csdnfgksdgojnmfnb'; $password = md5($salt.$_POST['password']); $result = mysql_query("SELECT id FROM users WHERE username = '".mysql_real_escape_string($_POST['username'])."' AND password = '$password'"); if (mysql_num_rows($result) < 1) { /* Access denied */ echo "The username or password you entered is incorrect."; } else { $_SESSION['id'] = mysql_result($result, 0, 'id'); #header("Location: ./"); echo …

4
最佳做法:添加密码?
我遇到了一个讨论,在该讨论中,我了解到我实际上在做的并不是给密码加盐,而是给它们添加了胡椒粉,从那时起,我就开始使用以下功能: hash_function($salt.hash_function($pepper.$password)) [multiple iterations] 忽略选择的哈希算法(我希望这是关于盐和胡椒的讨论,而不是特定算法的讨论,但我使用的是安全算法),这是安全的选择还是我应该做一些不同的事情?对于那些不熟悉这些术语的人: 甲盐是通常存储与设计,使其不可能使用哈希表来破解密码的数据库中的字符串中的随机生成值。由于每个密码都有自己的特色,因此必须将所有密码单独强行破解。但是,由于盐与密码哈希一起存储在数据库中,因此数据库泄密意味着同时丢失两者。 甲胡椒是从中旨在是秘密的数据库(在应用程序的源代码通常硬编码)分开存储站点范围静态值。使用它是为了避免对数据库造成危害,不会导致整个应用程序的密码表都是蛮力的。 我有什么遗漏的东西吗?保护密码安全的最佳选择是保护我的用户的安全吗?这样做是否有潜在的安全缺陷? 注意:出于讨论目的,假设应用程序和数据库存储在单独的计算机上,不共享密码等,因此违反数据库服务器并不自动意味着违反了应用程序服务器。

7
如何使用PHP的password_hash哈希和验证密码
最近,我一直在尝试在互联网上偶然发现的登录脚本上实现自己的安全性。在尝试学习如何制作自己的脚本以为每个用户生成盐的努力之后,我偶然发现了password_hash。 据我了解(基于本页的阅读内容),当您使用时,盐已经在行中生成password_hash。这是真的? 我的另一个问题是,吃2种盐不是很聪明吗?一个直接在文件中,另一个在数据库中?这样,如果有人破坏了数据库中的盐,您仍然直接在文件中保留了盐吗?我在这里读到,存储盐从来都不是一个聪明的主意,但是它总是让我感到困惑。
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.