我知道 PHP 5.5 的新哈希函数不必使用用户指定的盐,但它会增加安全性吗?我一直在做一些阅读,据我了解,散列函数每次都使用随机盐,当需要验证散列时,它可以从散列值中检索。但是生成自己的盐并使用它们有什么好处吗?有什么坏处吗?
【问题讨论】:
标签: security hash salt php-5.5
我知道 PHP 5.5 的新哈希函数不必使用用户指定的盐,但它会提高安全性吗?
假设您在谈论password_hash,那么不是。它内置了您需要的所有盐,再添加将没有任何好处。
也没有什么坏处,除了更多代码 = 更复杂 = 更可能出现错误。
【讨论】:
看来你这里有一些误解。
一旦生成哈希,整个想法就是它完全是一种方式。这意味着,从安全散列算法的消息摘要中,无法知道盐是什么。例如,我见过人们将盐存储在另一列中。
Salt 旨在在您的消息摘要集中创建熵。并使用 Rainbow 表防止攻击。盐为消息摘要添加了一个随机元素,超出了算法和原始值可以做的事情。
尝试变得聪明并使用自己的哈希值的不利之处在于,意识到自己可能不如编写可用 API 的安全专家聪明。说真的,当涉及到安全性时,你不能利用它来对抗你的想法。人脑容易出错;这就是我们团队合作的原因。一个专家团队为您制作了随机哈希生成器。说真的,使用它们。
【讨论】: