昨天我问了一个关于密码安全的问题...
我对安全方面还很陌生...
我正在使用mysql数据库,需要在其中存储用户密码。在回答中,有人告诉我用哈希方法来保存密码的哈希值,这是正确的做法。
所以,基本上我想确认一下这现在是否正确。
这是一个分类广告网站,每个用户发布广告时都需要输入密码,以便他/她以后可以使用该密码删除分类广告(例如当产品被售出时)。
在名为“put_ad.php”的文件中,我使用$_POST方法从表单中获取密码。然后我将其哈希化并放入mysql表中。然后每当用户想要删除广告时,我通过哈希它并比较输入密码的哈希值与mysql数据库中的哈希值来检查输入的密码是否正确,对吗?
但是,如果我作为管理员想删除一个分类广告,是否有易于“反哈希”密码的方法?
目前使用的是sha1。
非常感谢提供一些代码。
谢谢
您所做的是正确的,但是SHA、MD5等哈希算法只能进行单向计算,无法逆向还原(理论上可以通过暴力破解)。作为管理员,您也应该拥有删除权限,这应该是授权管理的一部分。
是的,你对第一部分的理解是正确的。
然而,(轻易地)无法反向哈希密码。这实际上就是将哈希值存储而非真正密码的全部意义所在。
你应该考虑在你的 PHP 应用程序中加入一些逻辑,以便当一个拥有管理员权限的用户登录时,没有必要检查密码来删除条目。
是的,你正在正确地存储密码。但正如Arkh所建议的那样,bcrypt是一种更安全的加密算法。
但密码是在服务器上加密的,这意味着它将以明文形式通过互联网发送,除非您使用SSL加密连接。任何在您和用户之间的线路上嗅探的人理论上都可以读取密码。对于您的用途,这可能是可以接受的...
我宁愿构建一个管理员界面,允许管理员用户删除他/她想要的任何分类,从而消除了“取消哈希”密码的需要。
不,没有办法“逆向”密码的哈希。哈希是一个单向过程,无法被逆转。
获得哈希码的可行密码唯一方式是使用暴力破解方法,尝试哈希不同的密码直到找到匹配项。
对于管理员来说,能够登录保密文件最简单的方式就是将当前哈希码存储起来,并从临时密码生成一个新的哈希码。然后他只需恢复原始哈希码,旧的密码便可正常使用。
是的,你说得对,但用户的密码不应该再可读,即使是管理员也不行!所以即使可以解密(实际上不行),将其解密回可读的明文也是绝对不允许的!
另一个问题是,你不应该只创建密码的哈希值,因为这是不安全的。密码可能会被暴力破解,也就是说,有人会遍历可能的密码并尝试创建从网络中嗅探到的哈希代码。如果他创建了相同的哈希值,他就找到了密码。 但是你可以使用加盐哈希。这意味着你将一些附加字符串(攻击者不知道的)添加到密码中,然后对其进行哈希。例如,你可以创建“用户名-我们应用程序已知的任何文本-密码”之类的哈希值。
