PHP的密码是否符合FIPS标准?

时间:2016-11-16 21:19:15

标签: php password-protection fips php-password-hash

我相信hash('sha256', $pw)符合FIPS标准,但我确信使用该功能可以实现攻击向量。此外,没有盐(所以我不得不遇到这种实施,我宁愿不这样做)。 password_hash / password_verify符合FIPS标准?

1 个答案:

答案 0 :(得分:1)

没有。

  1. FIPS 140-2 does not certify password hashing algorithms.因此,password_hash无法符合FIPS标准,因为FIPS根本不适用于它。

  2. 据我所知,hash()(它是PHP核心的一部分)使用的哈希实现尚未通过FIPS认证。如果您特别需要符合FIPS标准的实现,并且安装了符合FIPS标准的OpenSSL库,则可以使用openssl_digest()作为替代方案。 (但是,请记住,即使使用盐,这也不是一种存储密码的安全方法!)