0
我想问一下,是否有可能为每个用户生成一个独特的盐,然后散列它,就像 sha1(sha1($password . $salt)) 那么$ salt是一个随机生成的字符串?为每个用户生成独特的SALT?
如果是,我如何在登录时加密密码?
Xenforo使用这个,我想知道他们如何加密密码,如果他们为每个用户使用独特的盐?
非常感谢。
A
回答
5
Don't make your own password hashing algorithm。当你的数据库被破坏时,它会很容易被破解,你的用户不会意识到他们的密码被窃取了。
Bcrypt等良好测试散列已经这样做了:
>>> bcrypt.generate_password_hash('password', 15)
'$2a$15$bzaLXuer1C8dtSckDp3AI.eOoL/nOTsSdpjEMyDMcJ3ZQELdRcLzq'
>>> bcrypt.generate_password_hash('password', 15)
'$2a$15$Ye.cFInKhzo1KvAJGSi6yORV5uEqeW.Z1oAhdfi.163Psz4YPA3CO'
随机盐和循环数被存储在散列本身内,由分隔符,它可以让恒定时间的密码检查分离函数从生成的哈希字符串中挑选盐。
如果由于某种其他原因,你需要创建安全的随机字符串,使用openssl_random_pseudo_bytes():
$bytes = openssl_random_pseudo_bytes(64, true);
$hex = bin2hex($bytes);
相关问题
- 1. Magento独特TaxVat atrribute为每个客户
- 2. 每个用户的独特颜色
- 3. 为每位受访者生成独特的表单URL
- 4. 独特的django管理网站为每个不同的用户
- 5. 为每个用户创建独特的链接
- 6. 为包括全局用户在内的每个用户实施独特价值
- 7. 如何为特定用户生成每个变更集的报告?
- 8. 如何生成独特的网址来跟踪用户注册?
- 9. 如何给每个用户一个独特的网址
- 10. Extjs - 为选项卡生成一个独特的URL
- 11. 用jmeter模拟200个用户,每个用户都有独特的登录
- 12. 如何为每个用户生成唯一的ID?
- 13. 什么是为每个用户生成不同AntiForgeryToken的方法
- 14. 我应该如何为每个预订生成一个独特的链接,以便我的用户可以看到一个独立的电子邮件?
- 15. 独特的Id:是一个独特的用户名+ currentMilliseconds足够好,为一个独特的Id
- 16. 每个用户独特的有序号码
- 17. Rails 3 - 独特的子域和登录每个用户
- 18. 如何在导入用户数据时为md5哈希生成vBulletin密码salt?
- 19. 每次生成独特的名称像“Windows文件夹结构”行为
- 20. 用户生成/用户特定功能
- 21. 生成所有独特的排列
- 22. Ruby/Rails独特的名字生成器
- 23. 生成独特的上升ID
- 24. 生成独特的视图ID
- 25. 如何生成独特的itertools链?
- 26. [TRAC]:为个人和特定用户名生成(欢迎)页面?
- 27. 尝试计算每个独特小时的发生次数
- 28. Jmeter ---为每次运行生成单独的.jtl结果文件
- 29. 为提交的图片生成独特的网址?
- 30. PHP:生成独特随机数/ IDS
http://stackoverflow.com/a/2235548/251311 – zerkms 2013-03-25 00:36:41