位置: 编程技术 - 正文
PHP更安全的密码加密机制Bcrypt详解(php密码修改)
编辑:rootadmin推荐整理分享PHP更安全的密码加密机制Bcrypt详解(php密码修改),希望有所帮助,仅作参考,欢迎阅读内容。
文章相关热门搜索词:php登录安全,php确认密码,php确认密码,php更安全的密码是多少,php安全设置,php 密码,php最安全的登录功能,php更安全的密码是多少,内容如对您有帮助,希望把文章链接给更多的朋友!
前言
我们常常为了避免在服务器受到攻击,数据库被拖库时,用户的明文密码不被泄露,一般会对密码进行单向不可逆加密——哈希。
常见的方式是:
哈希方式 加密密码 md5(‘') eadcbaabbeeffe md5(‘' . ($salt = ‘salt')) acda3c1bdd7e9af8a sha1(‘') 位密文 hash(‘sha', ‘') 位密文 hash(‘sha', ‘') 位密文
密文越长,在相同机器上,进行撞库消耗的时间越长,相对越安全。
比较常见的哈希方式是 md5 + 盐,避免用户设置简单密码,被轻松破解。
password_hash
但是,现在要推荐的是 password_hash() 函数,可以轻松对密码实现加盐加密,而且几乎不能破解。
password_hash 生成的哈希长度是 PASSWORD_BCRYPT —— 位,PASSWORD_DEFAULT —— 位 ~ 位。PASSWORD_DEFAULT 取值跟 php 版本有关系,会等于其他值,但不影响使用。
每一次 password_hash 运行结果都不一样,因此需要使用 password_verify 函数进行验证。
password_hash 会把计算 hash 的所有参数都存储在 hash 结果中,可以使用 password_get_info 获取相关信息。
输出
注意:不包含 salt
可以看出我当前版本的 PHP 使用 PASSWORD_DEFAULT 实际是使用 PASSWORD_BCRYPT。
password_hash($password, $algo, $options) 的第三个参数 $options 支持设置至少 位的 salt。但仍然强烈推荐使用 PHP 默认生成的 salt,不要主动设置 salt。
当要更新加密算法和加密选项时,可以通过 password_needs_rehash 判断是否需要重新加密,下面的代码是一段官方示例
password_needs_rehash 可以理解为比较 $algo + $option 和 password_get_info($hash) 返回值。
password_hash 运算慢
password_hash 是出了名的运行慢,也就意味着在相同时间内,密码重试次数少,泄露风险降低。
输出
password_hash 运行一次耗时 毫秒, md5 运行 次耗时 5 毫秒。这是一个非常粗略的比较,跟运行机器有关,但也可以看出 password_hash 运行确实非常慢。
总结
标签: php密码修改
本文链接地址:https://www.jiuchutong.com/biancheng/289822.html 转载请保留说明!
