Я хотел знать, может ли процесс хеширования хеша помочь остановить атаки на него (грубая сила, я думаю) при использовании с солью. Итак, мой код: function hash_password($password, $salt, $site_key) { $hash = hash('sha512', $password . $salt . $site_key); for ($i=0; $i<1000; $i++) { $hash = hash($hash); } return $hash; } Из того, что я могу решить, […]
Видимо, хэширование имени пользователя и пароля и сохранение их в виде файлов cookie и вход в систему с данными для очистки файлов cookie недостаточно для вас людей (или безопасности моего сайта). Этот подход достаточно хорош? Процедура регистрации: $salt= date('U'); $username= hash('sha256', $salt. $_POST['username']); $password= hash('sha256', $salt. $_POST['password']); $token = hash('sha256', $salt. (rand(1,10000000000000000000000000000000000000000000))); Для входа в […]
Я по существу готовлю фразы, которые нужно поместить в базу данных, они могут быть искажены, поэтому я хочу вместо них сохранить короткий хэш (я буду просто сравнивать, если они существуют или нет, поэтому хэш является идеальным). Я предполагаю, что MD5 довольно медленный на 100 000 + запросов, поэтому я хотел знать, что было бы лучшим […]
Я хочу использовать SHA512 для хранения паролей. Для этого, какой из openssl_digest , hash и hash_hmac следует использовать и почему? В чем разница между SALT & HMAC ? Я просто прочитал, что HMAC построен поверх хэш-функции. Итак, SHA512+SALT+HMAC действительно необходим или SHA512+SALT или SHA512+HMAC ?
Я просто читал сообщение, чтобы создать систему входа в систему, и, читая, я видел о хэшировании паролей. Мы собираемся хранить хэш-файл sha256, который является строкой, всегда содержащей 64 символа. В этой статье предлагается использовать хэш-функцию sha256 . После прочтения этого я не остановился и начал искать больше о создании безопасной системы входа в систему, а […]
Случай использования: кнопка «Я забыл пароль». Мы не можем найти исходный пароль пользователя, потому что он хранится в хешированной форме, поэтому единственное, что нужно сделать – это создать новый случайный пароль и отправить ему по электронной почте. Для этого требуются криптографически непредсказуемые случайные числа, для которых mt_rand недостаточно хорош, и в целом мы не можем […]