2
我认为hash('sha256', $pw)符合FIPS标准,但我确定可以使用该功能的攻击向量。此外,没有盐(所以我将不得不遇到该实施,我宁愿不)。是否password_hash/password_verify符合FIPS?是否符合PHP的password_hash FIPS?
A
回答
1
号
FIPS 140-2 does not certify password hashing algorithms.因此,
password_hash不能符合FIPS,因为FIPS根本就不适用于它。据我所知,
hash()(它是PHP内核的一部分)所使用的哈希实现未经FIPS认证。如果您特别需要符合FIPS的实施,并且已安装符合FIPS的OpenSSL库,则可以使用openssl_digest()作为替代方案。 (但是,请记住,即使使用盐,这也不是一种安全的存储密码的方法)。
相关问题
- 1. 是SqlCipher for iOS符合FIPS
- 2. 是二郎神19.xx是符合FIPS?
- 3. PHP中的password_hash()
- 4. 符合FIPS标准的CWE-326 AES256
- 5. WinXP上符合FIPS标准的HashAlgorithm?
- 6. PHP的password_hash行为()
- 7. Double password_hash php
- 8. 是否可以在Perl中创建符合FIPS 140-2的服务器?
- 9. 使ASP.NET Web应用程序符合FIPS?
- 10. 哪个.NET SHA1类符合FIPS?
- 11. 如何使Weblogic 11gR2(10.3.3)符合FIPS-140
- 12. CRYPTOPP中符合FIPS 140-2的是什么?
- 13. 符合FIPS 140标准的应用程序是什么意思?
- 14. PHP的password_hash()向后兼容?
- 15. TripleDESCryptoServiceProvider FIPS 140-2合规性
- 16. PHP - ldap_add userPassword crypt和password_hash
- 17. PHP password_hash每次都改变
- 18. PHP登录使用password_hash
- 19. php password_hash相当于livecode
- 20. WinXP中符合FIPS标准的独立存储?
- 21. 符合FIPS 140-2标准的随机数生成器 - Java
- 22. 使用PHP的password_hash纯-ftpd的
- 23. 如何使用php的password_hash()方法..?
- 24. 是Cassandra FIPS 140-2认证
- 25. 哪些JCE提供商符合FIPS 140-2?
- 26. 是否符合Apache Tomcat PCI?
- 27. Bluemix HIPAA是否符合?
- 28. 是否符合Apache DBCP2 JCA?
- 29. 是否符合Chromium HTML5?
- 30. 是否有FIPS兼容的RADIUS .NET解决方案?
password_hash有一个“内置”盐。如果它只是它使用的特定散列算法的问题,则可以决定。 – 2016-11-16 21:28:34
http://security.stackexchange.com/questions/98214/why-should-i-choose-sha-such-as-sha-512-instead-of-bcrypt-or-pbkdf2-for-fips –