tuzlama, SHA1 MD5 değişiyor

3 Cevap

Benim algoritması, bu gibi görünüyor:

$new_password = sha1($salt . $password . $email);

iyi çalışıyor, ama Im ive onun daha iyi duydum beri sha1 değiştirmek için çalışıyorum ama alışkanlık çalışır. Neden ki?

kayıt:

//generate a strong unique salt
$salt = uniqid(mt_rand());

$new_password = sha1($salt . $password . $email);

i oturum açtığınızda ve daha sonra ben bunu rehash

3 Cevap

Eğer karma şifre ile tuz depolamak? Her kullanıcı kendi e-posta adresi, tuz ve karma saklanan olmalıdır - Sen karma kontrol ederken, aynı tuz kullanmak gerekir.

Evet, sha1 md5 daha iyi bir karma. Zaman tho çok, md5 yeterince iyi ... Gerçekten, nasıl "güvensiz" sitenizi diğer faktörlerden çok daha fazla belirlenir.

Sen tuz, örneğin bir sabit dize istiyorum

$salt = "iodized sea salt"

EDIT: Burada Commenters ve downvoters bir tuz kavramını anlamak için değil gibi görünüyor. Sabit bir tuz kullanmak kesinlikle özel karma algoritması seçiminizi yapmak için tuz, ("gibi-ve-bir tuz ile SHA1") amacı yenilgi olmaz. Bu tuz uzun olabilir ve seçim uniqid (mt_rand ()), diyelim ki, daha fazla entropiye sahiptir. Sen kaba herhangi bir zaman asla bu tarafını uzun bir tuz zorlayamaz. Bir kullanıcı başına tuz Eğer bilgisayar güvenliği ile ilgili net değil iseniz daha iyi hissetmenize neden olabilir, ama başka bir yarar sağlamaz.

etiketler