PHP-алгоритм для хэш-паролей

Question

Я изучаю алгоритмы шифрования паролей. Я знаю о существовании Bcrypt, Scrypt и varients, но я хочу chanllenge сам по этому вопросу, и именно поэтому я пришел с этим алгоритмом в PHP:

$secret = md5(uniqid(mt_rand(), true)); // Length is 32 
$passwd = 'qwert123'; 
$hash = $secret . hash('sha256', $secret + $passwd); 

Поскольку тайна определяется случайным образом и добавила на фронте хеша пароля, я мог бы подтвердить ввод пароля следующим образом:

$secret = substr($hash_from_db, 0, 32); 
$hash_from_db === $secret . hash('sha256', $secret + $input_from_user); 

Что вы думаете об этой реализации? Я хотел бы получить некоторые отзывы об этом. Спасибо.

Answer 1

Если вы используете PHP 5> 5.5, вы можете использовать новую функцию password_hash().

Существует функция совместимости для старых версий PHP - вот один: https://github.com/ircmaxell/password_compat/blob/master/lib/password.php

Answer 2

MD5 считается криптографически сломанным - не используйте его для обеспечения безопасности.

Вы только один раз добавили соль + пароль. Мне потребовалось около 10 секунд, чтобы найти инструмент, который взломает соленый хэш, как это, используя словарь. Ваша реализация не должна считаться защищенной от любой формы решительной атаки.

Чтобы улучшить ситуацию, рассмотрите хеширование несколько раз; используя более одной соли; изменение алгоритма хеширования на части; что-то непредсказуемое. Скорость не ваш друг - чем больше времени вы тратите на путаницу, тем более надежной она будет.