我想在我的系統中使用Bcrypt進行密碼加密。但是,所有的例子是這樣的:Bcrypt之前使用512哈希?
$password = $_POST['password'];
$salt = substr(str_replace('+', '.', base64_encode(sha1(microtime(true), true))), 0, 22);
$hash = crypt($password, '$2a$12$'.$salt);
這看起來相當安全的,我的,但我想知道,在每個例子中,沒有人使用散列之前Bcrypt密碼。
由於獨特的鹽,彩虹表不應該能夠一次破解所有的密碼。但是如果黑客拿到一條記錄並用該特定記錄的鹽創建彩虹表,他應該能夠破解弱密碼。
因此,如果有人需要一個弱口令(讓我們說「富」),這將是更安全的使用SHA-512使用Bcrypt之前的第一個散列它。我對嗎?或者這看起來更安全?
只爲一個散列創建一個彩虹表是毫無意義的。 – Gumbo