我一直在寻找加密密码以便与我的面板一起使用的最佳方法,我决定继续使用BCRYPT,这仅仅是因为每次加密的成本以及它通常被认为是最好的之一目前可用。
我使用的是双向盐,所以每个用户都有一个独特的盐,然后很明显我的应用程序中存储了盐,我注意到一些相当奇怪的行为..根据PHP文档,这种行为是正常的吗? / p>
无论如何,这是我使用的代码:
$Crypto = new Crypto;
echo $Crypto->encrypt( "123456789abcdefghijklm", "StackOverflow_Is_Awesome!" ); // First parameter being the "User Salt", second being the password.
// Above outputs $2y$13$123456789abcdefghijkleepFY8JLvsf2YbnWolqQyO3DIzrCeNIu
现在,Crypto类:
<?php
// ASSUMING $this->hashingSalt = HBSNi3y7ruhbVGkhdg83ijdbvghiojkgudL;JP
class Crypto {
private $hashingSalt, $database;
public function __construct( $salt )
{
$this->hashingSalt = $salt;
$this->database = new DatabaseFunctions();
}
public function encrypt( $salt, $password )
{
$options = array(
'cost' => 13,
'salt' => $salt //22 chars
);
return password_hash( $password . $this->hashingSalt, PASSWORD_BCRYPT, $options);
}
}
所以,我感兴趣的是,为什么这个函数只是简单地将选项中的salt集添加到输出字符串的开头?这真是令人费解......因为这并不是我所说的安全,而是将对象击败给我。
任何人都可以提供建议,试着解释一下我完全看过去的情况吗?感谢
答案 0 :(得分:4)
盐是为了防止制作带有哈希的预先计算的桌子的可能性,并且一旦“坏人”将手放在哈希上,它就不能保持安全。
你还在做什么:
然后显然存储在我的应用程序中的盐
被称为胡椒(并且实际上并不那么明显),AFAIK还没有被证明更安全。有关更多信息,请阅读此博文(也是密码API的作者):http://blog.ircmaxell.com/2012/04/properly-salting-passwords-case-against.html
另请注意,名为encrypt的方法不会加密任何内容。加密是双向的。你在做什么叫做散列:https://stackoverflow.com/a/4948393/508666