Password_hash和默认盐就够了吗?

时间:2014-04-21 23:38:32

标签: php bcrypt password-hash

我想知道是否

password_hash("custompassgoeshere", PASSWORD_BCRYPT)

足够安全,以便将密码存储到数据库中,或者我是否应该在其中添加更多SALT(我在考虑用户的用户名/电子邮件/出生日期/等)。

谢谢!

1 个答案:

答案 0 :(得分:3)

Bcrypt本身足够安全。确保将迭代/成本增加到足够高的值(但对于服务器来说速度不会太慢)。您可能需要测试几个值来测试可接受的散列时间。

需要对密码进行加密,Bcrypt会自动为每个哈希生成唯一的salt并将其与哈希一起存储。

请参阅:How can bcrypt have built-in salts?