0
我目前编码我自己的CMS和我在密码的状态...我可以md5(sha1(密码))?
我想知道如果我能md5一个密码,然后后sha1呢?
像:
$password = md5(sha1(mysql_real_escape_string($_POST['passw'])));
A
回答
6
可以md5任何数据,你想,即使它之前散列。
但是,它只会增加碰撞风险,因为您现在正在处理较小的数据集。
你想达到什么目的?
+0
我想为我的密码提供最好的安全性,而不需要1000行! – 2012-02-04 18:09:33
+0
@FrederickMarcoux通过较弱的MD5算法运行SHA1密码不会增加安全性。 – mrlee 2012-02-04 18:16:35
+2
最好的安全性来自散列函数本身的强度。你可以很容易地做的是用[盐](http://highedwebtech.com/2008/04/25/season-your-passwords-with-some-salt/)来提高常用的强度(即通常预先计算的)散列函数值; – hackartist 2012-02-04 18:17:43
1
你显然可以。我不明白你为什么不能。
如果你想要更好的安全性,你应该考虑类似phpass。
4
是的,你可以。不,它不合理。
链式散列函数的安全性总是等于或小于最弱算法的安全性。 (sha1($ something))比sha1($ something)更安全:如果你设法打破sha1,你可以免费获得md5,如shat($ something)和sha1($ faked_something)具有相同的值,因此修改它们不会改变任何内容。
1
你可以做到这一点,但它没有真正的好处。如果您通过md5()运行您的密码,您将通过添加密码盐来获得更多安全性。
What is SALT and how do I use it?有更多信息。
你可能听到很多建议的另一点是不要使用MD5。 SHA1相对较强,您只需将数据库中的密码字段更改为接受40个字符的字符串即可。
1
请确保你在那里添加了一个盐,这使得使用彩虹表对客户/用户的密码要困难得多。
是这样的:
$ hashedPassword = SHA1(。MD5($密码)$盐SHA1($ $盐密码));
如果salt可以是一个很好的长随机字符串本身,或者是在应用程序中不变,或者是每个与用户一起存储的联系人的盐。
相关问题
- 1. 通过SHA1散列密码与MD5,SHA1和MD5
- 2. 以md5格式保存md5密码django?
- 3. 我在哪里可以找到Windows 7 iso md5和sha1哈希?
- 4. 是否可以解密md5?
- 5. MD5密码解密
- 6. MD5/SHA1校验和
- 7. 生成MD5和SHA1
- 8. GPU MD5/SHA1哈希
- 9. 密码恢复与sha1密码散列
- 10. Python md5密码值
- 11. 是否有可能检查MD5密码
- 12. 生成Django SHA1密码
- 13. md5/sha1散列大文件
- 14. MD5和SHA1 C++哈希库
- 15. Active Directory可以使用MD5散列密码验证用户
- 16. 更新和md5密码
- 17. 使用md5散列密码
- 18. md5密码不匹配
- 19. 用Md5保存密码
- 20. iphone用户名密码MD5
- 21. 将md5加密的密码转换为解密的密码wordpress
- 22. dovecot passdb中的密码无效:不是有效的MD5-CRYPT或PLAIN-MD5密码
- 23. 将密码的PHP代码从MD5更改为WordPress密码
- 24. 在Java中使用SHA1存储密码
- 25. Oracle Weblogic 10.3.2的密码注册(SHA1)
- 26. cakephp sha1在mysql中保存密码
- 27. 密码存储为sha1和pbkdf2_sha256
- 28. 在wordpress上导入/使用SHA1密码
- 29. 用于比较密码的sfValidator sha1
- 30. 生成长MD5或SHA1哈希码(64位)
您可以计算任何字节序列的sha1的md5。你为什么要问? – 2012-02-04 18:07:42
我在问,因为我不想让我的CMS崩溃!我可以吗? – 2012-02-04 18:08:33
只需要注意一点,当它们与像md5,sha1等字母数字散列一起散列时,您不应该逃避密码,它们不能包含任何有害字符 - 并且它可能会更改用户期望的密码。 – 2012-02-04 18:13:24