文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

PHP程序员:6年前都告诉过你md5密码不安全,直到今天你还在犯错

2024-12-11 21:20

关注

作为php开发人员,很长一段时间以来,很多人一直在使用md5哈希算法来保护密码数据并生成唯一的哈希算法。但是你应该或多或少听到过,md5不再安全了!

PHP 5.5中有一些密码身份验证替代方案,即 sha1,password_hash?为什么被认为更安全?应该怎么选择?

 

学习时间

很多研究论文已经证明过了,md5 计算出的哈希值可以被逆向。我们也应该完全停止使用。论文的名字也非常具有冲击力《How to Break MD5 and Other Hash Functions》,演示了整个逆向的过程,可谓触目惊心,看的我瑟瑟发抖。

 

[[330938]]

作为升级版的用法,password_hash 函数安全系数足够强大到抵御一段时间的破解。在 PHP 5.5 中可以放心使用。后来加入到标准库中的 crypt 函数,则把安全级别向前推进了一大步。

首先举例说明一下 password_hash 的用法:

  1. $options = [ 
  2.     'cost' => 12, 
  3. ]; 
  4. echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options)."\n"

还有使用 BLOWFISH 算法的 crypt 密码生成:

  1. if (CRYPT_BLOWFISH == 1) { 
  2.     echo 'Blowfish:     ' . crypt('rasmuslerdorf''$2a$07$usesomesillystringforsalt$') . "\n"

还是那句话,PHP 都准备好函数了,用法极为简单高效,等着开发者开箱即用呢。

深入一步

为什么坚决不能再用 md5 了?

因为诸如MD5,SHA1和SHA256之类的哈希算法被设计为非常快速和高效。随着现代技术和计算机设备的出现,“暴力破解”所需要的时间越来越短。由于现代计算机“逆向”这些哈希算法的速度很快,因此许多安全专业人员强烈建议不要将其用于密码哈希。

为什么 PHP 5.5 中推荐使用 password_hash 函数?

在对密码进行哈希处理时,两个最重要的考虑因素是计算量和费用。哈希算法在计算上越昂贵,对它进行暴力破解所花费的时间就越长。PHP 5.5提供了一个本机密码哈希API,就是password_hash(),可以安全地安全处理哈希和验证密码。

写在最后

计算机硬件的突飞猛进,使得原本需要大量的时间和成本才能进行的破解工作周期大为缩短。在软件层面,我们势必要跟得上节奏,才能保证在一段时间内的安全。

再者,PHP 提供的函数如此高效,简单,有什么理由不用呢!

来源:今日头条内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯