本文實例講述了PHP中散列密碼的安全性����。分享給大家供大家參考����,具體如下:
php的基本哈希函數已經不再安全�?
php手冊中有專門的一個部分來介紹這個問題
http://php.net/manual/zh/faq.passwords.php
很多應用,都是將用戶的密碼都是直接通過md5加密直接存儲到數據庫中的�,包括我最近在用的開源項目zabbix的web管理界面����。
$password = "1234";
$hash = md5($password);
echo $res;
php常用的哈希函數有md5和sha1���,這種哈希之后����,一般是不可逆的,但是可以重現����,也就是說同樣的明文�,哈希之后的結果是一樣的���,對于一些簡單的明文����,是可以通過遍歷,然后對照加密之后的密文得到明文的�。
網上有流傳的“彩虹表”����,就是遍歷的到的一個非常大的數據庫�,存儲了明文和密文的對照關系,通過查詢就能得到密文對應的明文���。
http://www.cmd5.com/
這個網站就提供這種服務器,也就說如果黑客“脫褲”成功����,拿到用戶密碼的密文之后,還是有很大的可能性解密得到明文了����。
將明文“1234”���,通過md5加密之后�,在上面的網站是很容易解密出來的。
通過“加鹽”���,增加破解難度
“加鹽”的意思是給明文加上一些數據,然后再進行加密����。這樣的話���,就算明文(用戶的密碼)比較簡單�,加鹽之后就變得更加復雜一些���,然后再加密�,這就增加了黑客去解密明文的難度。
$password = "1234";
$salt = "s@jn#.sK_jF3;gg*";
$hash = md5($password.$salt);
echo $res;
同樣的明文“1234”�,加了一個比較復雜的“鹽”之后���,再進行加密�,解密的難度就增加了不少����,在上面的解密網站是就不能被解密出來了(最起碼不付錢是解密不出來的,哈哈哈)�。
上面我們對所有的密碼都使用的同樣的鹽����,這中方式是不大安全的����。比如�,張三和李四的密碼是一樣的,則存儲在數據庫中的密文也是一樣的,這無疑讓黑客更容易破解了����。
更常使用的方式���,是對于不同的用戶使用不同的鹽進行加密���,在用戶的注冊過程中�,生成用戶對應的鹽���,然后進行存儲����;在用戶登錄時,取出鹽用于加密操作,鹽和用戶id一一對應�。
可以使用php自帶的random_bytes生成一定長度的鹽
$password = "1234";
$salt = bin2hex(random_bytes(32));
$hash = md5($password.$salt);
echo $res;
關于鹽的存儲
可以將鹽和密文一起存在數據庫的用戶信息表中����,優點是數據庫查詢取出密碼的同時也可以取出鹽���,進行加密比對操作����,一次數據查詢就可以搞定,缺點是安全性差,如果黑客“脫褲”成功,則獲取密文的同時也獲取了對應的鹽���。
更好的方案是將鹽和密文分開存儲,比如密文存儲在mysql數據庫中,鹽存儲在redis服務器中����,這樣即使黑客“脫褲”拿到了數據庫中的密文,也需要再進一步拿到對應的鹽才能進一步破解�,安全性更好���,不過這樣需要進行二次查詢���,即每次登陸都需要從redis中取出對應的鹽���,犧牲了一定的性能�,提高了安全性。
php5.5中更加安全的解決方案
說php是專為為web設計的語言一點也沒錯,應該是php開發者也注意到了這個密碼保存的問題。
于是php5.5開始����,就設計了password_hashing模塊����,用于密碼的哈希和驗證���。
http://php.net/manual/zh/book.password.php
使用password_hash進行哈希�,使用的算法、cost 和鹽值作為哈希的一部分返回,所以不用單獨保存salt的值����,因為它每次都會自己生成salt���,所以優點就是“每次加密的結果都不一樣”����,但是可以放心���,加密結果包含了salt信息���,password_verify可以正確解析���。
$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);
哈希之后的結果���,只能使用password_verify進行驗證�,因此驗證密碼的功能只能由php語言來實現���。
$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);
$res = password_verify($password,$hash); //驗證結果為true
優缺點分析
優點是安全性很高����,即使被脫褲,也很難將密文解密�,因為同一個密文�,每次加密的結果都不一樣����,所以沒法撞庫!
password_hash實際上是對crypt和salt的封裝����,crypt加密比普通的md5和sha1更加復雜�,所以耗時也更加多一些����,這可以算是一個缺點,對于用戶量很大����,經常需要進行登錄操作的站點����,可能會有性能上的影響�。還有一點是通用性不強����,因為這種方式只適用于php語言,其他語言是沒有辦法對密文進行操作的���。
剛才測試了一下password_hash的性能,嚇的半死�。���。
md5.php
?php
$stime = microtime(true);
$password = "root123@";
$salt = "83979fklsdfgklu9023**(()#*(Y*(@*:L:%:::>>??11!!^%^$%$%^>YUIYUIhjkdshfJKH#J#HJK#HKl;dskfs";
for($i=0;$i100;$i++){
$res = md5($password);
}
$etime = microtime(true);
echo "stime:$stimebr/>";
echo "etime:$etimebr/>";
echo "cost:".($etime-$stime);
運行結果:
stime:1478265603.1118
etime:1478265603.1229
cost:0.011116981506348
password_hash.php
?php
$stime = microtime(true);
$password = "root123@";
for($i=0;$i100;$i++){
$res = password_hash($password,PASSWORD_DEFAULT);
}
$etime = microtime(true);
echo "stime:$stimebr/>";
echo "etime:$etimebr/>";
echo "cost:".($etime-$stime);
運行結果:
stime:1478265640.382
etime:1478265646.6675
cost:6.2854981422424
如果是安全性要求特別高的情況下���,可以使用password_hash的方式����,這種情況下一般可以通過其他方式提高服務器性能。
不過���,大多是情況下,將salt存儲在redis�,md5之后的密文存儲在mysql的方式已經非常安全了�,微笑 :)
PS:關于加密解密感興趣的朋友還可以參考本站在線工具:
文字在線加密解密工具(包含AES����、DES、RC4等):
http://tools.jb51.net/password/txt_encode
MD5在線加密工具:
http://tools.jb51.net/password/CreateMD5Password
在線散列/哈希算法加密工具:
http://tools.jb51.net/password/hash_encrypt
在線MD5/hash/SHA-1/SHA-2/SHA-256/SHA-512/SHA-3/RIPEMD-160加密工具:
http://tools.jb51.net/password/hash_md5_sha
在線sha1/sha224/sha256/sha384/sha512加密工具:
http://tools.jb51.net/password/sha_encode
更多關于PHP相關內容感興趣的讀者可查看本站專題:《php加密方法總結》���、《PHP編碼與轉碼操作技巧匯總》、《PHP數學運算技巧總結》�、《PHP數組(Array)操作技巧大全》���、《php字符串(string)用法總結》�、《PHP數據結構與算法教程》�、《php程序設計算法總結》及《php正則表達式用法總結》
希望本文所述對大家PHP程序設計有所幫助。
您可能感興趣的文章:- PHP實現的單向散列加密操作示例
- 詳談PHP中的密碼安全性Password Hashing
- 理解php Hash函數����,增強密碼安全
- PHP更安全的密碼加密機制Bcrypt詳解
- PHP之密碼加密的幾種方式
- PHP隱形一句話后門,和ThinkPHP框架加密碼程序(base64_decode)
- PHP中的密碼加密的解決方案總結
- php用戶密碼加密算法分析【Discuz加密算法】
- php實現用戶注冊密碼的crypt加密
- php用戶名的密碼加密更安全的方法
- PHP中使用addslashes函數轉義的安全性原理分析
