Wie sicher ist Salted MD5 im Vergleich zu anderen Passwort-Hashing-Methoden?

Passwörter sicher speichern

Frage: Wie sicher ist das Speichern von Passwörtern mit MD5 mit Salt im Vergleich zu normalem Speichern? MD5?

Antwort:

Die Gewährleistung einer sicheren Passwortspeicherung ist für die Datensicherheit von größter Bedeutung. Obwohl gesalzenes MD5 sicherer ist als einfaches MD5, bleibt es hinter den empfohlenen Best Practices zurück. Die Implementierung einer Standardbibliothek für die Passwortspeicherung ist die effektivste Lösung.

Upgrade auf die Passwort-API von PHP

PHP 5.5.0 führte eine vereinfachte Passwort-Hashing-API ein, die sichere Passwörter vereinfacht Lagerung:

$hash = password_hash($_POST['password'], PASSWORD_DEFAULT, ['cost' => 12]);
$checked = password_verify($_POST['password'], $hash);

Verbesserung der Sicherheit mit Pepper

Für zusätzliche Sicherheit wird das Hinzufügen eines „Pfeffers“ zu (automatisch) gesalzenen Passwort-Hashes empfohlen:

use Netsilik/Lib/PepperedPasswords;
$pepper = hex2bin('012345679ABCDEF012345679ABCDEF012345679ABCDEF012345679ABCDEF');
$hasher = new PepperedPasswords($pepper);
$hash = $hasher->hash($_POST['password']);
$checked = $hasher->verify($_POST['password'], $hash);

Legacy-Standardbibliothek: phpass

Für PHP-Versionen vor 5.5.0 verwenden Sie phpass:

require('PasswordHash.php');
$pwdHasher = new PasswordHash(8, FALSE);
$hash = $pwdHasher->HashPassword($password);
$checked = $pwdHasher->CheckPassword($password, $hash);

Zusätzliche Überlegungen:

• Vermeiden Sie die Verwendung von MD5 oder SHA1 für das Passwort-Hashing.
• Verwenden Sie die bcrypt-Implementierung von PHP, CRYPT_BLOWFISH .
• Konsultieren Sie Jeffrey Friedl's Blogbeitrag „Sie speichern Passwörter wahrscheinlich falsch“ für weitere Einblicke.

Das obige ist der detaillierte Inhalt vonWie sicher ist Salted MD5 im Vergleich zu anderen Passwort-Hashing-Methoden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!