1
鑑於一次性墊是牢不可破的(據我所知,請隨時糾正我),如果我要生成一個墊,並使用此當用戶創建時將相同的填充密碼加密到網站的密碼並將加密的密碼存儲在我的數據庫中,這是一種安全的方法嗎?換句話說,只要沒有人看到墊是什麼,永遠保持這個墊是否可以永久保存?PHP - 使用一次性墊來存儲加密的密碼
我應該使用類似mcrypt的東西嗎?
A
回答
1
一次性頁面中的「一次」意味着給定的密鑰僅用於加密單個明文。換句話說,您需要爲每個需要加密的項目單獨填充。這是讓他們牢不可破的東西。由於這些獨立的墊必須存儲在某個地方,因此您很脆弱。相反,使用廣泛使用和測試的庫(如mcrypt)並使用鹽加密您的密碼
2
你會用一次性墊做什麼是加密的密碼。加密密碼不是最佳選擇,因爲無論您如何操作,您都可以解密密碼。您的應用程序本身必須能夠訪問密鑰(或密鑰,因爲每個一次性密鑰只能加密一個密碼),因此如果攻擊者擁有足夠的權限,就可以執行攻擊。
這就是爲什麼我們使用散列功能來存儲密碼,他們是單向的,你可以檢查輸入的密碼是否導致相同的散列,但你不能得到原始密碼。 PHP提供函數password_hash()來生成這樣的散列值,它處理所有產生隨機鹽的陷阱並使用緩慢的BCrypt來散列密碼。
相關問題
- 1. 存儲加密密碼和salt或僅存儲加密密碼?
- 2. PHP一次性密碼?
- 3. Mysql,php - 一次性密碼
- 4. 密碼加密和密碼存儲 - Perl
- 5. 加密解密錯誤(一次性密碼加密)
- 6. 加密密碼以匹配存儲的加密密碼。
- 7. 使用AES來存儲密碼
- 8. 使用php加密和解密密碼
- 9. 在加密的cookie中存儲密碼?
- 10. 在PHP中使用AES加密時,應該在哪裏存儲密碼密鑰?
- 11. 用PHP將密碼與PHP一起存儲到MySQL中時試驗加密
- 12. 密碼存儲?
- 13. AES加密 - 在Android上存儲密碼
- 14. 將加密密碼存儲在xml中
- 15. 在PHP文件中存儲加密密鑰的安全性
- 16. 存儲在PHP中使用的加密密鑰
- 17. 使用加密算法來存儲和檢索用戶名和用戶密碼
- 18. janusgraph - 存儲使用bcrypt加密的密碼
- 19. Android一次性密碼(OTP)
- 20. PHP - 解密加密密碼
- 21. 存儲密碼
- 22. 存儲密碼
- 23. PHP使用multiOTP的基於時間的一次性密碼
- 24. 基本的密碼加密和存儲在一個文件中的密碼
- 25. 使用鹽對密碼加密PHP
- 26. PHP:使用bcrypt進行密碼加密
- 27. 在PHP中使用crypt()加密密碼的安全性如何?
- 28. 加密使用此代碼來加密我的密碼使用MD5
- 29. 存儲PBKDF2加密密碼時使用什麼數據類型?
- 30. javax.crypto.IllegalBlockSizeException:帶襯墊的密碼
以及您將如何生成此OTP?大概以編程方式?你如何保持生成方法的祕密?現在您已經將OTP的保證不可破壞性降低到您存儲這些創建說明的地方。 –
一次性頁面中的「一次」意味着給定密鑰僅用於加密單個明文。換句話說,您需要爲每個需要加密的項目單獨填充。這是讓他們牢不可破的東西。由於這些獨立的墊必須存儲在某個地方,因此您很脆弱。相反,使用廣泛使用和測試的庫(如mcrypt)並使用鹽對密碼進行加密。 –
@JacobM如果你張貼作爲答案,我會很樂意接受它。 – imkendal