什么更好?Password_hash vs. SHA256 vs. SHA1 vs. md5
如何更好地使用salt来存储密码? MD5:$hash = md5($password . $salt); 密码哈希值:$hash = password_hash($password, PASSWORD_DEFAULT, $salt); SHA1:$result = sha1($salt.$...
“双重哈希”比仅哈希一次密码更不安全吗?
将密码在存储前进行两次哈希,与仅进行一次哈希相比,哪种更安全? 我所说的是这样做: $hashed_password = hash(hash($plaintext_password)); 而不仅仅是这样: $hashed_password = hash($plaintext_pass...
如何升级密码存储方案(更改哈希算法)
我被要求对一个内部网站进行一些更改/更新; 使其成为所谓的“未来证明”。 我们发现密码是使用MD5算法进行哈希的。(该系统自2001年以来存在,因此当时是足够的)。 我们现在想将哈希算法升级为更强的算法(BCrypt-hash或SHA-256)。 显然我们不知道明文密码,并且为用户群创建...
什么是用于Node的bcrypt替代方案?
我已经尝试了数天在我的Windows机器上安装bcrypt,但没有成功。其中一个依赖项(Windows 7 SDK)无论我如何尝试网络上的各种建议都不愿意安装。 我需要一个没有任何依赖关系的良好的bcrypt替代方案。
最佳实践:密码加盐和加胡椒粉?
我看到了一个讨论,了解到我一直在做的并不是给密码加盐,而是加胡椒粉。因此,我现在开始使用以下函数来同时进行加盐和加胡椒粉:hash_function($salt.hash_function($pepper.$password)) [multiple iterations] 忽略所选哈希算法(我...
如何使用PHP的password_hash函数对密码进行哈希和验证
最近我一直在尝试在一个我在互联网上偶然发现的登录脚本中实现自己的安全措施。在努力学习如何为每个用户生成盐的过程中,我偶然发现了password_hash。 根据我所理解的(基于这个页面上的阅读),当您使用password_hash时,该行中已经生成了盐。这是真的吗? 我还有一个问题就是,是...
PHP7中的Argon2算法:理解time_cost参数
我正在尝试在认证库中实现Argon2算法。我希望能够为用户提供一些有用的提示来设置参数。 虽然我理解内存成本和线程参数如何影响算法,但我似乎无法理解时间成本参数。 PHP文档所说: time_cost(整数)-计算Argon2哈希可能需要的最长时间。默认为PASSWORD_ARGON2...
多次加密(MD5)可以提高安全性吗?
我看到有人使用MD5多次加密用户密码来提高安全性。我不确定这是否有效,但它看起来并不好。那么,这样做有意义吗?
hashlib.scrypt的推荐/最小参数是什么?
hashlib.scrypt的文档有点简短: hashlib.scrypt(password, *, salt, n, r, p, maxmem=0, dklen=64) 该函数定义了RFC 7914中提供的基于scrypt的密码导出函数。 password和salt必须是类似字节的对象。...
为什么MD5/SHA1密码哈希值无法解密?
我最近阅读了一篇关于密码哈希的文章。 MD5或SHA1哈希是如何创建的,以至于无法解密??我认为,它必须通过某种公式加密字符串(对于相同的字符串始终给出相同的哈希值;因此不能有随机性),这样我们就应该能够通过相同的公式解密它?还是人们不知道这个公式吗?