Rumah > pembangunan bahagian belakang > tutorial php > 怎样去存储用户密码安全

怎样去存储用户密码安全

炎欲天舞
Lepaskan: 2023-03-14 16:58:01
asal
1612 orang telah melayarinya

一:基础知识:加盐哈希( Hashing with Salt)

我们已经知道,恶意攻击者使用查询表和彩虹表,破解普通哈希加密有多么快。我们也已经

了解到,使用随机加盐哈希可以解决这个问题。但是,我们使用什么样的盐值,又如何将其

混入密码中?

 

盐值应该使用加密的安全伪随机数生成器( Cryptographically Secure Pseudo-Random

Number Generator,CSPRNG )产生。CSPRNG和普通的伪随机数生成器有很大不同,

如“ C ”语言的rand()函数。顾名思义, CSPRNG 被设计成用于加密安全,这意味着它能提

供高度随机、完全不可预测的随机数。我们不希望盐值能够被预测到,所以必须使用 CSPRNG 。

下表列出了一些当前主流编程平台的 CSPRNG 方法。 

Platform CSPRNG
PHP mcrypt_create_iv, openssl_random_pseudo_bytes
Java java.security.SecureRandom
Dot NET (C#, VB) System.Security.Cryptography.RNGCryptoServiceProvider
Ruby SecureRandom
Python os.urandom
Perl Math::Random::Secure
C/C++ (Windows API) CryptGenRandom
Any language on GNU/Linux or Unix Read from /dev/random or /dev/urandom

每个用户的每一个密码都要使用独一无二的盐值。用户每次创建帐号或更改密码时,密码应采用一个新的随机盐值。

永远不要重复使用某个盐值。这个盐值也应该足够长,以使有足够多的盐值能用于哈希加密。一个经验规则是,盐

值至少要跟哈希函数的输出一样长。该盐应和密码哈希一起存储在用户帐号表中。

存储密码的步骤:

  1. 使用 CSPRNG 生成足够长的随机盐值。

  2. 将盐值混入密码,并使用标准的密码哈希函数进行加密,如Argon2、 bcrypt 、 scrypt 或 PBKDF2 。

  3. 将盐值和对应的哈希值一起存入用户数据库。

校验密码的步骤:

  1. 从数据库检索出用户的盐值和对应的哈希值。

  2. 将盐值混入用户输入的密码,并且使用通用的哈希函数进行加密。

  3. 比较上一步的结果,是否和数据库存储的哈希值相同。如果它们相同,则表明密码是正确的;否则,该密码错误。

 

Atas ialah kandungan terperinci 怎样去存储用户密码安全. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!

Label berkaitan:
sumber:php.cn
Kenyataan Laman Web ini
Kandungan artikel ini disumbangkan secara sukarela oleh netizen, dan hak cipta adalah milik pengarang asal. Laman web ini tidak memikul tanggungjawab undang-undang yang sepadan. Jika anda menemui sebarang kandungan yang disyaki plagiarisme atau pelanggaran, sila hubungi admin@php.cn
Artikel terbaru oleh pengarang
Tutorial Popular
Lagi>
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan