我知道PHP 5.5的新哈希函数不必使用用户指定的salt,但它会增加安全性吗?我一直在做一些阅读,根据我的理解,散列函数每次使用随机盐,它可以在验证散列时从散列值中检索。但是,生成自己的盐并使用它们会有任何优势吗?有什么损害?
答案 0 :(得分:2)
我知道PHP 5.5的新散列函数不必使用用户指定的salt,但是它会增加安全性吗?
假设你在谈论password_hash
,那么没有。它具有你需要内置的所有盐,再添加它没有任何好处。
没有任何损害,除了更多的代码=更复杂=更多的错误可能性。
答案 1 :(得分:0)
似乎你在这里遇到了一些误解。
一旦生成了哈希,整个想法就是它完全是一种方式。这意味着,从安全散列算法的消息摘要中,无法知道盐是什么。例如,我看到人们将盐储存在另一个专栏中。
Salts旨在在您的消息摘要集中创建熵。并使用Rainbow表防止攻击。 salt在消息摘要中添加了随机元素,超出了算法和原始值可以做的范围。
试图变得聪明并使用自己的哈希值的不利之处在于,您可能并不像编写可用API的安全专家那样聪明。说真的,在安全方面,你无法在脑海中利用它。人脑容易出现故障;这就是我们团队合作的原因。一个专家团队为您制作了随机哈希生成器。说真的,使用它们。