并没有什么卵用,都知道该咋用
我就发着玩 2333333
<?php
function password($password,$salt='') {
if (!$salt)
$salt = mcrypt_create_iv(16,MCRYPT_DEV_URANDOM);
$password = hash_pbkdf2("sha512",$password,$salt,10000);
return sprintf('sha512$10000$%s$%s',base64_encode($salt),$password);
}
function verify($password,$hash) {
list($algo,$iterations,$salt,$verify) = explode('$',$hash);
return explode('$',password($password,base64_decode($salt)))[3] === $verify;
}
$password = password('password');
var_dump($password);
// "sha512$10000$LbcjzVgnLQ/Pg+vPMySCoA==$a89c104f76595bdce5677c8f2f3209207493e8c47abe3dffcfdf37c217c7544dbcca079a36f379d5e495cb73d53a99e86da22132ead0df6d94ef4660af17ba6a
var_dump(verify('password',$password));
// bool(true)
iterations
到 100000
次也就 0.1s 左右一般
那么问题来了。不考虑计算成本的前提下,pbkdf2
bcrypt
scrypt
哪种方法更适合作为生产环境大规模应用的用户密码加密方法?
1
nevernet 2015-10-20 09:02:18 +08:00
为啥很多都用 hash_hmac 呢?
|
2
GPU 2015-10-20 09:13:28 +08:00
看完刚刚的网易贴 。楼下讨论加密的人都高潮 。
还在思考什么是 pbkdf2 |
3
flyingfz 2015-10-20 09:30:14 +08:00
|
4
easychen 2015-10-20 09:43:42 +08:00
既然都用 PHP 了,干嘛不用原生的 API 。 http://php.net/manual/zh/faq.passwords.php
|
5
cevincheung OP @easychen 自带的是 bcrypt 。 so~ pbkdf2 bcrypt scrypt~~~
|
8
kiritoalex 2015-10-20 12:17:58 +08:00
建议使用 scrypt
|
9
realpg 2015-10-20 12:46:17 +08:00
hook php 源代码的 md5 后使用
我的 md5 函数输出是 36 位…… |
10
hahasong 2015-10-20 13:51:20 +08:00
@nevernet
hash_hmac 平时用用就足够了,谷歌两步验证的算法也是用的这个。 python 官方文档也是建议使用此算法加密密码 |
11
cevincheung OP @kiritoalex 一般 vps 都好慢好慢的。 :doge:
|
12
kiritoalex 2015-10-20 20:36:47 +08:00
@cevincheung 慢是借口吧,把用户的安全放在第一位就应该使用 scrypt
|