2
我使用这个代码来散列密码:与SHA512一起使用时,我应该多长时间为php的hmac创建密钥?
hash_hmac('sha512', $password . $salt, $hmac_key);
是4096位足够的关键?
谢谢!
A
回答
1
用于密码散列?当然。只要足够长的盐就够了。
你需要认识到,你在这里使用散列的目的是什么。你在对密码进行哈希处理,这样如果有人能够掌握这些哈希值,他们就无法从中推断出原始密码。我们使用盐,所以基于蛮力和彩虹表的攻击效果较差,并且我们为每个密码制作独特的盐,以便使用相同密码的两个用户具有不同的哈希值。 HMAC不会在这里添加任何安全措施,除非作为一种盐来使用。
当您使用散列函数作为消息/文件的数字签名时(例如,php.net uses it one their downloads page),HMAC是相关的。您使用HMAC密钥,以便只有知道该密钥的人才能验证散列内容的真实性(与php.net下载相比,每个人都可以检查下载文件的md5),并且使得更难以伪造产生相同内容的消息哈希(你需要知道密钥,知道什么哈希目标)
相关问题
- 1. 计算HMAC-SHA512在Java密钥
- 2. hmac密钥和盐的长度
- 3. 创建密钥空间时出现TTransportException
- 4. AES:使用随机数来创建新的密钥HMAC
- 5. PBKDF2 - 使用SHA512生成1024位密钥长度时会发生什么?
- 6. 我应该创建很多活动还是进行很长时间的活动?
- 7. HMAC秘密密钥是否应该不进行硬编码?
- 8. 在PHP中使用AES加密时,应该在哪里存储密码密钥?
- 9. 带密钥的SHA512散列
- 10. 为Android应用创建密钥存储时拒绝访问
- 11. Postgres的查询用PHP时间太长时,它不应该
- 12. 如何创建一个时间限制的散列/密钥?
- 13. hmac消息加密,但使用我们自己的密钥
- 14. 创建一个RSA密钥容器有时它有时不起作用
- 15. Rapleaf API - 获得批准的API应用程序密钥需要多长时间?
- 16. 需要多长时间才能破解HMAC sha256摘要私钥给定数据
- 17. MongoDB应该创建我自己的ID密钥列吗?
- 18. 我应该多次使用相同的密钥吗?
- 19. 基于SHA512的FIPS验证应用程序与HMAC功能?
- 20. HMAC算法的密钥
- 21. 的Python 3哈希HMAC-SHA512
- 22. (Not-so)巧妙的密钥导致节点JS中的SHA512 Hmac出现问题
- 23. 使用一个密钥进行加密和HMAC
- 24. BouncyCastle,需要多长时间才能生成RSA密钥对?
- 25. 需要多长时间才能获得Google地点API密钥
- 26. SQL Server 2005 - 应该多长时间重建索引?
- 27. 在GitHub上为我的ssh密钥创建一个密码
- 28. 为长时间计算创建沙漏
- 29. 我应该为每列使用不同的密钥吗?
- 30. 使用C#创建MongoDB唯一密钥
我想我很困惑你对盐说什么。只要我足够长的盐,这很好? –
@pythonscript:我在我的回答中扩充了这个话题 – Mchl
感谢您的帮助;现在,我为每个不同的用户生成一个随机salt(通过/ dev/urandom),这个用户被加密并存储。当我散列他们输入的任何密码进行比较时,会使用它。由于HMAC不会在这里添加任何安全措施,所以我可能会放弃它,以免我每次需要散列密码时都会抓住密钥的开销。 再次感谢您! –