I';我使用bcrypt for php,希望潜在的黑客需要很长时间才能登录
我指的是这个答案: 我们重新对密码进行散列,但是实际上我们没有对散列做任何处理(我们在CheckPassword函数中使用提交后的明文密码进行身份验证)。黑客不能绕过重新散列部分吗 下面是我的伪代码 如果密码/用户名是通过POST提交的,$row['password']是sql中的散列pwordI';我使用bcrypt for php,希望潜在的黑客需要很长时间才能登录,php,security,bcrypt,Php,Security,Bcrypt,我指的是这个答案: 我们重新对密码进行散列,但是实际上我们没有对散列做任何处理(我们在CheckPassword函数中使用提交后的明文密码进行身份验证)。黑客不能绕过重新散列部分吗 下面是我的伪代码 如果密码/用户名是通过POST提交的,$row['password']是sql中的散列pword $t_hasher = new PasswordHash(13, FALSE); $hash = $t_hasher->HashPassword($_POST['password']); $che
$t_hasher = new PasswordHash(13, FALSE);
$hash = $t_hasher->HashPassword($_POST['password']);
$check = $t_hasher->CheckPassword($_POST['password'], $row['password']);
if($check) Great success else Wrong credentials`
注意:我发现工时系数对运行CheckPassword所需的时间没有影响。这只会增加HashPassword的使用时间。在我看来,没有一种哈希算法是安全的,但是有一些算法会减慢黑客的速度,我们唯一的希望是他们能用它偷窥一下……密码有两种类型的攻击:
睡眠<?php?> 为什么不在每次尝试之后加上几秒钟的睡眠时间呢;如果你的唯一目标是让它变慢。然而,这真的值得吗?你正在保护的东西可能会受到这样的攻击吗?@user557846不,需要的是CPU时间,而不是时钟时间。攻击者可以使用自己的系统攻击已获得的密码哈希,这是必须加以保护的攻击。请记住,一般攻击(不是矛钓)是获取所有用户的用户信息,然后破解简单密码并在黑暗的web上出售用户凭据+密码。使用phpass,功因子与哈希一起存储,因此攻击者不必猜测功因子(原因是,即使phpass配置不同,您也可以验证哈希)。但是,如果您对密码进行散列,使其不会显示功因子,那么您是对的:攻击者必须猜测正确的功因子,以便使散列相等。只想与您核实一下,并向其他人澄清一下:功因子仅在我们最初使用phpass(用于放入数据库的)创建散列时才起作用。如果攻击者获得此哈希,他可以尝试暴力强制执行它
$t_hasher=new PasswordHash(**tiny work factor**,FALSE);$check=$t_hasher->CheckPassword(暴力强制猜测,从数据库窃取哈希);If($check)巨大的成功还有错误的凭据密码\u verify