我相信hash('sha256', $pw)
符合FIPS标准,但我确信使用该功能可以实现攻击向量。此外,没有盐(所以我不得不遇到这种实施,我宁愿不这样做)。 password_hash
/ password_verify
符合FIPS标准?
答案 0 :(得分:1)
没有。
FIPS 140-2 does not certify password hashing algorithms.因此,password_hash
无法符合FIPS标准,因为FIPS根本不适用于它。
据我所知,hash()
(它是PHP核心的一部分)使用的哈希实现尚未通过FIPS认证。如果您特别需要符合FIPS标准的实现,并且安装了符合FIPS标准的OpenSSL库,则可以使用openssl_digest()
作为替代方案。 (但是,请记住,即使使用盐,这也不是一种存储密码的安全方法!)