摘要:永远使用哈希算法来处理密码。绝不要使用弱哈希或已被破解的哈希算法,像或。只要你对密码进行哈希处理了,那么无论是技术上,还是在存储上都没有任何限制。
在你的应用程序中正确处理密码是非常关键的。前阵阅读CI手册,发现CodeIgniter对密码处理的总结对我很有帮助,把这个清单分享给大家,它告诉你什么该做,什么不该做。
绝不要以明文存储密码。永远使用 哈希算法 来处理密码。
绝不要使用 Base64 或其他编码方式来存储密码。这和以明文存储密码是一样的,使用哈希 ,而不要使用编码。
(编码以及加密,都是双向的过程,而密码是保密的,应该只被它的所有者知道, 这个过程必须是单向的。哈希正是用于做这个的,从来没有解哈希这种说法, 但是编码就存在解码,加密就存在解密。)
绝不要使用弱哈希或已被破解的哈希算法,像 MD5 或 SHA1。
(这些算法太老了,而且被证明存在缺陷,它们一开始就并不是为了保存密码而设计的。另外,绝不要自己发明算法。)
只使用强密码哈希算法,例如 BCrypt。
(在 PHP 自己的 密码哈希 函数中也是使用它。)
绝不要以明文形式显示或发送密码。
(即使是对密码的所有者也应该这样。如果你需要 "忘记密码" 的功能,可以随机生成一个新的 一次性的(这点很重要)密码,然后把这个密码发送给用户。)
绝不要对用户的密码做一些没必要的限制。
(如果你使用除 BCrypt(它有最多 72 字符的限制)之外的其他哈希算法,你应该设置一个相对长一点的密码长度(例如 1024 字符),这样可以缓解 DoS 攻击。但是除此之外,对密码的其他限制诸如密码中只允许使用某些字符,或者密码中不允许包含某些字符,就没有任何意义了。这样做不仅不会提高安全性,反而 降低了 安全性,而且真的没有任何理由需要这样做。 只要你对密码进行哈希处理了,那么无论是技术上,还是在存储上都没有任何限制。)
扩展阅读:[鉴]PHP处理密码的几种方式:https://segmentfault.com/a/1190000003024932
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/38942.html
摘要:永远使用哈希算法来处理密码。绝不要使用弱哈希或已被破解的哈希算法,像或。只要你对密码进行哈希处理了,那么无论是技术上,还是在存储上都没有任何限制。 在你的应用程序中正确处理密码是非常关键的。前阵阅读CI手册,发现CodeIgniter对密码处理的总结对我很有帮助,把这个清单分享给大家,它告诉你什么该做,什么不该做。 绝不要以明文存储密码。永远使用 哈希算法 来处理密码。 绝不要使用 ...
阅读 1615·2021-10-27 14:13
阅读 1851·2021-10-11 10:59
阅读 3341·2021-09-24 10:26
阅读 1908·2019-08-30 12:48
阅读 3013·2019-08-30 12:46
阅读 2009·2019-08-30 11:16
阅读 1386·2019-08-30 10:48
阅读 2721·2019-08-29 16:54