如何解决请评论这种存储用户密码的方法…
|$storePassword = md5Hash($salt,$userActuallyPassword);
当用户分配密码时,我将生成一个盐,它是一个十位数的随机字符串,我将md5与userActuallyPassword一起使用,并将盐和storePassword存储在用户实际的密码中,这是一种很好的方法这样做?对此有何评论?
解决方法
尝试使用更严格研究的方法,例如PBKDF2。您仍然会存储一个哈希和一个盐,并且可以选择自己的哈希算法,但是您将处理字典攻击,rainbow攻击和各种其他问题。您可以在hash_hmac()函数的注释中找到一个好的实现。
,差不多了。
但是,您不应使用MD5,而应使用非ASCII盐。
而是使用bcrypt
,几乎正确:
$storePassword = $salt . md5Hash($salt,$userActuallyPassword);
而不是md5,最好使用SHA256或BCrypt Hash。
同样,十位数的随机字符串的熵也不会很大,您可以使用128个随机位代替数字来改善。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。