Я знаю, что новая функция хеширования PHP 5.5 не должна использовать указанную пользователем соль, но повысит ли она безопасность? Я делаю немного чтения и, насколько я понимаю, функция хэширования использует случайную соль каждый раз, когда она может извлекать из хеш-значения, когда приходит время проверить хэш. Но может ли быть какое-то преимущество для создания собственных солей и их использования? Любой ущерб?Повышает ли безопасность соли с помощью хеширования PHP 5.5
ответ
Я знаю, что новая функция хеширования PHP 5.5 не должна использовать указанную пользователем соль, но увеличит ли она безопасность?
Предполагая, что вы говорите о password_hash
, то нет. Он обладает всей солью, в которой вы нуждаетесь, и не будет никакого преимущества добавлять больше.
Без ущерба, кроме того, что больше кода = больше сложности = больше вероятности ошибок.
Спасибо! Это помогает – Chris
Я хотел бы добавить, что возможность указать свою соль была устаревшей в PHP 7, потому что мы не нашли ни одного случая, когда это могло бы быть полезно, но во многих случаях, когда людям удалось сломать вещи эффектно, используя это , – NikiC
@NikiC - Приятно слышать, я думаю, что это очень мудрое решение. – martinstoeckli
У вас здесь несколько недоразумений.
Как только хеш генерируется, вся идея в том, что это полностью один способ. Это означает, что из дайджеста сообщений безопасного алгоритма хэширования нет способа узнать, что такое соль. Например, я видел, как люди хранят соль в другой колонке.
Соли предназначены для создания энтропии в вашем наборе сообщений. И для предотвращения атак с использованием таблиц Rainbow. Соль добавляет элемент случайности в дайджест сообщения, помимо того, что может сделать алгоритм и исходное значение.
Недостаток попыток быть умным и использовать собственный хэш - это осознание того, что вы, вероятно, не так умны, как эксперты по безопасности, которые написали доступные вам API. Серьезно, когда дело доходит до безопасности, вы не можете использовать это против своего ума. Человеческий мозг склонен к ошибкам; поэтому мы работаем в командах. И команда экспертов сделала для вас случайные хэш-генераторы. Серьезно, используйте их.
Я должен быть немного более конкретным. Как функция PHP 5.5 проверяет пароли, если для каждого хэша используется случайная соль? – Chris
Конечно, вы должны знать соль, чтобы выполнить проверку, она хранит открытый текст в хэш-значении. – martinstoeckli
@martinstoeckli Итак, хеш просто имеет соль с текстом в тексте? Так что, возможно, это не совпадение, я когда-то видел слово «спам» в моем хэш-лоле. Если бы кто-то получил доступ к вашей базе данных, не могли ли они взять хэш, поместить его на свою страницу и попытаться переустановить его с помощью пароля_шиба? – Chris
- 1. Почему добавление пароля хеширования повышает безопасность?
- 2. Повышает ли безопасность идентификатора сеанса?
- 3. использование счетчика вместо соли для хеширования
- 4. PHP - Отправка пароля для хеширования
- 5. Отключение защитной соли для простого MD5-хеширования в AuthComponent?
- 6. Пароль хеширования различной соли с таким же именем пользователя
- 7. Хеширование пароля несколько раз повышает безопасность?
- 8. Как строка Java, неизменяемая, повышает безопасность?
- 9. Как хранить соли, созданные для хеширования в базе данных?
- 10. Является ли Magento совместимым с PHP 5.5?
- 11. SHA512 хеширования MYSQL/PHP
- 12. Проблема с хеширования в PHP
- 13. хэширования пароля с помощью соли
- 14. Пароль хеширования и соления
- 15. Обновление php 5.5. * До php 5.6. * С помощью apt-get
- 16. Ошибка при установке соли-миньона с помощью соли SSH
- 17. Форма отправить безопасность с помощью php
- 18. Создание соли в PHP
- 19. PHP поколение крипты соли
- 20. Как повышает уровень защиты паролем
- 21. Длина соли в CRYPT_BLOWFISH
- 22. Есть ли PHP 5.5 buildpack с APC (альтернативный кэш PHP)?
- 23. Grails - разные пароли для той же соли весной Безопасность
- 24. Php - пароль хеширования
- 25. SHA-256 с проверкой соли с Java в PHP
- 26. Расшифровать на PHP с помощью соли, пароля и типа?
- 27. Как шифровать с помощью SHA256 и соли?
- 28. Установка xdebug с PHP 5.5
- 29. php 5.5 Проблемы с ldap_connect
- 30. Ioncube трудности с PHP 5.5
Создание соли по своему усмотрению не принесет пользы. Что вы можете сделать, так это шифрование хэша с помощью серверного ключа, это может быть преимуществом в определенных ситуациях. Посмотрите на конец моего [учебника] (http://www.martinstoeckli.ch/hash/en/index.php), если вы заинтересованы. – martinstoeckli