本文实例讲述了PHP中散列密码的安全性。分享给大家供大家参考,具体如下:
php的基本哈希函数已经不再安全?
php手册中有专门的一个部分来介绍这个问题
http://php.net/manual/zh/faq.passwords.php
很多应用,都是将用户的密码都是直接通过md5加密直接存储到数据库中的,包括我最近在用的开源项目zabbix的web管理界面。
$password = "1234"; $hash = md5($password); echo $res;
php常用的哈希函数有md5和sha1,这种哈希之后,一般是不可逆的,但是可以重现,也就是说同样的明文,哈希之后的结果是一样的,对于一些简单的明文,是可以通过遍历,然后对照加密之后的密文得到明文的。
网上有流传的“彩虹表”,就是遍历的到的一个非常大的数据库,存储了明文和密文的对照关系,通过查询就能得到密文对应的明文。
这个网站就提供这种服务器,也就说如果黑客“脱裤”成功,拿到用户密码的密文之后,还是有很大的可能性解密得到明文了。
将明文“1234”,通过md5加密之后,在上面的网站是很容易解密出来的。
通过“加盐”,增加破解难度
“加盐”的意思是给明文加上一些数据,然后再进行加密。这样的话,就算明文(用户的密码)比较简单,加盐之后就变得更加复杂一些,然后再加密,这就增加了黑客去解密明文的难度。
$password = "1234"; $salt = "s@jn#.sK_jF3;gg*&"; $hash = md5($password.$salt); echo $res;
同样的明文“1234”,加了一个比较复杂的“盐”之后,再进行加密,解密的难度就增加了不少,在上面的解密网站是就不能被解密出来了(最起码不付钱是解密不出来的,哈哈哈)。
上面我们对所有的密码都使用的同样的盐,这中方本文来源gaodai#ma#com搞*!代#%^码$网!搞代gaodaima码式是不大安全的。比如,张三和李四的密码是一样的,则存储在数据库中的密文也是一样的,这无疑让黑客更容易破解了。
更常使用的方式,是对于不同的用户使用不同的盐进行加密,在用户的注册过程中,生成用户对应的盐,然后进行存储;在用户登录时,取出盐用于加密操作,盐和用户id一一对应。
可以使用php自带的random_bytes生成一定长度的盐
$password = "1234"; $salt = bin2hex(random_bytes(32)); $hash = md5($password.$salt); echo $res;
关于盐的存储
可以将盐和密文一起存在数据库的用户信息表中,优点是数据库查询取出密码的同时也可以取出盐,进行加密比对操作,一次数据查询就可以搞定,缺点是安全性差,如果黑客“脱裤”成功,则获取密文的同时也获取了对应的盐。
更好的方案是将盐和密文分开存储,比如密文存储在mysql数据库中,盐存储在redis服务器中,这样即使黑客“脱裤”拿到了数据库中的密文,也需要再进一步拿到对应的盐才能进一步破解,安全性更好,不过这样需要进行二次查询,即每次登陆都需要从redis中取出对应的盐,牺牲了一定的性能,提高了安全性。
php5.5中更加安全的解决方案
说php是专为为web设计的语言一点也没错,应该是php开发者也注意到了这个密码保存的问题。
转载请注明原文链接:PHP中散列密码的安全性分析
