本文實(shí)例講述了PHP中散列密碼的安全性。分享給大家供大家參考���,具體如下:
php的基本哈希函數(shù)已經(jīng)不再安全���?
php手冊(cè)中有專門的一個(gè)部分來介紹這個(gè)問題
http://php.net/manual/zh/faq.passwords.php
很多應(yīng)用��,都是將用戶的密碼都是直接通過md5加密直接存儲(chǔ)到數(shù)據(jù)庫(kù)中的���,包括我最近在用的開源項(xiàng)目zabbix的web管理界面。
$password = "1234";
$hash = md5($password);
echo $res;
php常用的哈希函數(shù)有md5和sha1��,這種哈希之后��,一般是不可逆的��,但是可以重現(xiàn)���,也就是說同樣的明文��,哈希之后的結(jié)果是一樣的���,對(duì)于一些簡(jiǎn)單的明文,是可以通過遍歷����,然后對(duì)照加密之后的密文得到明文的。
網(wǎng)上有流傳的“彩虹表”��,就是遍歷的到的一個(gè)非常大的數(shù)據(jù)庫(kù),存儲(chǔ)了明文和密文的對(duì)照關(guān)系���,通過查詢就能得到密文對(duì)應(yīng)的明文���。
http://www.cmd5.com/
這個(gè)網(wǎng)站就提供這種服務(wù)器,也就說如果黑客“脫褲”成功�,拿到用戶密碼的密文之后,還是有很大的可能性解密得到明文了��。
將明文“1234”���,通過md5加密之后,在上面的網(wǎng)站是很容易解密出來的���。
通過“加鹽”���,增加破解難度
“加鹽”的意思是給明文加上一些數(shù)據(jù),然后再進(jìn)行加密�。這樣的話,就算明文(用戶的密碼)比較簡(jiǎn)單���,加鹽之后就變得更加復(fù)雜一些���,然后再加密�����,這就增加了黑客去解密明文的難度�����。
$password = "1234";
$salt = "s@jn#.sK_jF3;gg*";
$hash = md5($password.$salt);
echo $res;
同樣的明文“1234”�,加了一個(gè)比較復(fù)雜的“鹽”之后��,再進(jìn)行加密�,解密的難度就增加了不少,在上面的解密網(wǎng)站是就不能被解密出來了(最起碼不付錢是解密不出來的����,哈哈哈)。
上面我們對(duì)所有的密碼都使用的同樣的鹽����,這中方式是不大安全的。比如����,張三和李四的密碼是一樣的���,則存儲(chǔ)在數(shù)據(jù)庫(kù)中的密文也是一樣的,這無疑讓黑客更容易破解了���。
更常使用的方式��,是對(duì)于不同的用戶使用不同的鹽進(jìn)行加密�,在用戶的注冊(cè)過程中��,生成用戶對(duì)應(yīng)的鹽���,然后進(jìn)行存儲(chǔ);在用戶登錄時(shí)����,取出鹽用于加密操作,鹽和用戶id一一對(duì)應(yīng)�。
可以使用php自帶的random_bytes生成一定長(zhǎng)度的鹽
$password = "1234";
$salt = bin2hex(random_bytes(32));
$hash = md5($password.$salt);
echo $res;
關(guān)于鹽的存儲(chǔ)
可以將鹽和密文一起存在數(shù)據(jù)庫(kù)的用戶信息表中,優(yōu)點(diǎn)是數(shù)據(jù)庫(kù)查詢?nèi)〕雒艽a的同時(shí)也可以取出鹽���,進(jìn)行加密比對(duì)操作�,一次數(shù)據(jù)查詢就可以搞定��,缺點(diǎn)是安全性差,如果黑客“脫褲”成功�����,則獲取密文的同時(shí)也獲取了對(duì)應(yīng)的鹽�����。
更好的方案是將鹽和密文分開存儲(chǔ)��,比如密文存儲(chǔ)在mysql數(shù)據(jù)庫(kù)中�,鹽存儲(chǔ)在redis服務(wù)器中,這樣即使黑客“脫褲”拿到了數(shù)據(jù)庫(kù)中的密文��,也需要再進(jìn)一步拿到對(duì)應(yīng)的鹽才能進(jìn)一步破解����,安全性更好,不過這樣需要進(jìn)行二次查詢�,即每次登陸都需要從redis中取出對(duì)應(yīng)的鹽,犧牲了一定的性能���,提高了安全性����。
php5.5中更加安全的解決方案
說php是專為為web設(shè)計(jì)的語(yǔ)言一點(diǎn)也沒錯(cuò),應(yīng)該是php開發(fā)者也注意到了這個(gè)密碼保存的問題��。
于是php5.5開始�����,就設(shè)計(jì)了password_hashing模塊��,用于密碼的哈希和驗(yàn)證�����。
http://php.net/manual/zh/book.password.php
使用password_hash進(jìn)行哈希����,使用的算法、cost 和鹽值作為哈希的一部分返回��,所以不用單獨(dú)保存salt的值�,因?yàn)樗看味紩?huì)自己生成salt���,所以優(yōu)點(diǎn)就是“每次加密的結(jié)果都不一樣”��,但是可以放心��,加密結(jié)果包含了salt信息��,password_verify可以正確解析��。
$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);
哈希之后的結(jié)果�,只能使用password_verify進(jìn)行驗(yàn)證,因此驗(yàn)證密碼的功能只能由php語(yǔ)言來實(shí)現(xiàn)��。
$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);
$res = password_verify($password,$hash); //驗(yàn)證結(jié)果為true
優(yōu)缺點(diǎn)分析
優(yōu)點(diǎn)是安全性很高����,即使被脫褲,也很難將密文解密�����,因?yàn)橥粋€(gè)密文��,每次加密的結(jié)果都不一樣����,所以沒法撞庫(kù)!
password_hash實(shí)際上是對(duì)crypt和salt的封裝���,crypt加密比普通的md5和sha1更加復(fù)雜��,所以耗時(shí)也更加多一些�����,這可以算是一個(gè)缺點(diǎn)���,對(duì)于用戶量很大�����,經(jīng)常需要進(jìn)行登錄操作的站點(diǎn)���,可能會(huì)有性能上的影響。還有一點(diǎn)是通用性不強(qiáng)�,因?yàn)檫@種方式只適用于php語(yǔ)言,其他語(yǔ)言是沒有辦法對(duì)密文進(jìn)行操作的���。
剛才測(cè)試了一下password_hash的性能�����,嚇的半死。�����。
md5.php
?php
$stime = microtime(true);
$password = "root123@";
$salt = "83979fklsdfgklu9023**(()#*(Y*(@*:L:%:::>>??11!!^%^$%$%^>YUIYUIhjkdshfJKH#J#HJK#HKl;dskfs";
for($i=0;$i100;$i++){
$res = md5($password);
}
$etime = microtime(true);
echo "stime:$stimebr/>";
echo "etime:$etimebr/>";
echo "cost:".($etime-$stime);
運(yùn)行結(jié)果:
stime:1478265603.1118
etime:1478265603.1229
cost:0.011116981506348
password_hash.php
?php
$stime = microtime(true);
$password = "root123@";
for($i=0;$i100;$i++){
$res = password_hash($password,PASSWORD_DEFAULT);
}
$etime = microtime(true);
echo "stime:$stimebr/>";
echo "etime:$etimebr/>";
echo "cost:".($etime-$stime);
運(yùn)行結(jié)果:
stime:1478265640.382
etime:1478265646.6675
cost:6.2854981422424
如果是安全性要求特別高的情況下,可以使用password_hash的方式����,這種情況下一般可以通過其他方式提高服務(wù)器性能。
不過���,大多是情況下�����,將salt存儲(chǔ)在redis���,md5之后的密文存儲(chǔ)在mysql的方式已經(jīng)非常安全了,微笑 :)
PS:關(guān)于加密解密感興趣的朋友還可以參考本站在線工具:
文字在線加密解密工具(包含AES��、DES�����、RC4等):
http://tools.jb51.net/password/txt_encode
MD5在線加密工具:
http://tools.jb51.net/password/CreateMD5Password
在線散列/哈希算法加密工具:
http://tools.jb51.net/password/hash_encrypt
在線MD5/hash/SHA-1/SHA-2/SHA-256/SHA-512/SHA-3/RIPEMD-160加密工具:
http://tools.jb51.net/password/hash_md5_sha
在線sha1/sha224/sha256/sha384/sha512加密工具:
http://tools.jb51.net/password/sha_encode
更多關(guān)于PHP相關(guān)內(nèi)容感興趣的讀者可查看本站專題:《php加密方法總結(jié)》�、《PHP編碼與轉(zhuǎn)碼操作技巧匯總》、《PHP數(shù)學(xué)運(yùn)算技巧總結(jié)》、《PHP數(shù)組(Array)操作技巧大全》���、《php字符串(string)用法總結(jié)》�、《PHP數(shù)據(jù)結(jié)構(gòu)與算法教程》���、《php程序設(shè)計(jì)算法總結(jié)》及《php正則表達(dá)式用法總結(jié)》
希望本文所述對(duì)大家PHP程序設(shè)計(jì)有所幫助�。
您可能感興趣的文章:- PHP實(shí)現(xiàn)的單向散列加密操作示例
- 詳談PHP中的密碼安全性Password Hashing
- 理解php Hash函數(shù)���,增強(qiáng)密碼安全
- PHP更安全的密碼加密機(jī)制Bcrypt詳解
- PHP之密碼加密的幾種方式
- PHP隱形一句話后門�,和ThinkPHP框架加密碼程序(base64_decode)
- PHP中的密碼加密的解決方案總結(jié)
- php用戶密碼加密算法分析【Discuz加密算法】
- php實(shí)現(xiàn)用戶注冊(cè)密碼的crypt加密
- php用戶名的密碼加密更安全的方法
- PHP中使用addslashes函數(shù)轉(zhuǎn)義的安全性原理分析
