【发布时间】:2013-10-14 02:15:37
【问题描述】:
我正在查看在 SO 上的很多答案中推荐的 PHPass 库。但是当我查看生成的密码时,我看到的是这样的:
现在有些只是 1234,有些则更复杂一些。有些真的很复杂(大写、小写、字符)等。但是,我仍然看到前 7 个字符总是相同的,无论密码是什么。这不是很容易猜测吗?我对彩虹或字典攻击知之甚少,但这看起来很奇怪。这是平常的吗?这是一个错误吗?该框架是否足以在生产环境中使用?
【问题讨论】:
【发布时间】:2013-10-14 02:15:37
【问题描述】:
这第一个字符只是散列方法的“描述”。多亏了这一点,您将能够识别并重用该方法来检查密码。即使在不同的服务器上或更改哈希新密码的方法后(旧的仍然会被识别)。
您可以在http://www.php.net/security/crypt_blowfish.php 阅读有关此前缀和新前缀的信息
【讨论】:
-
你是指使用的算法吗?如果是这样,为什么需要 7 个字符来表示呢?单个字符或类似 $b$ 的东西不会实现吗?
-
@DS。也许它就足够了,但对于河豚来说还不够,因为它还需要
cost参数,它位于第二个和第三个$之间。 -
感谢您的链接。我在谷歌上搜索不相关的东西。我也会把这个链接留在这里给那些对
cost提及感兴趣的人。 php.net/manual/en/function.crypt.php