在这种情况下更好的散列不是更好的原因是MD5中的ABC变为一个值,SHA512中的ABC变为一个值.计算所有3个字母的密码是actually easier for SHA512 than it was for MD5.关键是很难做到.这意味着一个缓慢的哈希,一个使用大量RAM,和/或一个不能在EC2上轻松完成的哈希.
最好的选择是不再单独使用密码.确定您的网站是否真的需要登录,如果是,请先尝试使用第三方提供商.如果这不是一个选项,请考虑来自RSA的密码令牌.如果您没有其他可行选项,请仅使用密码.
在对密码进行散列时,关键是散列(密码盐),并且每个用户的盐需要是唯一的,并且也应该难以或无法猜测.使用用户名符合第一个标准,并且优于每个用户的无盐或相同的盐,但每个用户的独特随机盐是更好的选择.理想情况下,在单独的数据库中,如果不是位置,则使用自己的凭据.它也应该不是键入用户名,而是键入user_id甚至是user_id的哈希值.您希望该数据库是sql注入证明.不接受来自没有散列的用户的输入是一种很好的方法.你最好让查询本身进行散列.慢?是的,这也是一件好事.
盐本身应该包含它可以获得的所有难以预测的数据.用户名用户ID时间戳来自dev / urandom的最新推文,其中包含单词taco.越长越好. SHA512是哈希的一个很好的选择.
摘要:hash = bcrypt(密码salt),salt = sha512(用户名user_id timestamp microtimestamp dev / urandom位其他噪声).
如果你仍然担心这一切.随意使用SHA512加密密码.你将获得SHA512的优势,当破解时只显示出更难以暴力加密的哈希.
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。
