Cách thay thế cho crypt()

Question

Tôi đang làm việc trên tập lệnh và cần lưu mật khẩu. Vì mục đích phát triển, tôi đã sử dụng chức năng crypt() vì nó dễ dàng và khả dụng. Bây giờ tôi hầu như đã hoàn thành, tôi muốn thay thế nó bằng một thứ gì đó tốt hơn và nhất quán hơn.

Một số những mối quan tâm tôi có là:

• không phải tất cả các thuật toán được hỗ trợ trên tất cả các hệ thống
• đôi khi muối được pre-pended đến kết quả (có vẻ như là một vấn đề an ninh)

Tôi muốn một cái gì đó hoạt động với PHP 4.3+.

Có bất kỳ thứ gì có sẵn hay tôi nên gắn bó với crypt()? Tôi đã nghĩ đến việc sử dụng md5(md5($password).$salt). Cảm ơn vì sự thấu hiểu.

Answer 1

Không có gì sai với crypt

là Nếu máy chủ của bạn không hỗ trợ nó, sử dụng máy chủ khác.

Bạn nên KHÔNG BAO GIỜ sử dụng MD5 cho băm mật khẩu (hoặc thậm chí SHA1 cho rằng vấn đề)

Sử dụng một trong hai bcrypt (phương pháp blowfish của crypt) hoặc pbkdf2

Có một thực hiện pbkdf2 ở đây: Encrypting Passwords with PHP for Storage Using the RSA PBKDF2 Standard

thông tin thêm về lý do tại sao và làm thế nào đây:

• Which password hashing method should I use?
• Do any security experts recommend bcrypt for password storage?

Answer 2

Trước hết: prepending muối không phải là một vấn đề an ninh. Có một muối cho mỗi mật khẩu là một món quà lớn, và nó hoàn toàn OK để nó được lưu trữ cùng với pw.

Bây giờ: Miễn là bạn không vận chuyển băm mật khẩu từ hệ thống này sang hệ thống khác, và sau này không hỗ trợ thuật toán mặc định của đầu tiên, sẽ không có gì xấu xảy ra theo định nghĩa. Kể từ PHP 5.3 có các thuật toán tích hợp trong PHP như Blowfish, được đảm bảo có sẵn.