2
我認爲hash('sha256', $pw)符合FIPS標準,但我確定可以使用該功能的攻擊向量。此外,沒有鹽(所以我將不得不遇到該實施,我寧願不)。是否password_hash/password_verify符合FIPS?是否符合PHP的password_hash FIPS?
A
回答
1
號
FIPS 140-2 does not certify password hashing algorithms.因此,
password_hash不能符合FIPS,因爲FIPS根本就不適用於它。據我所知,
hash()(它是PHP內核的一部分)所使用的哈希實現未經FIPS認證。如果您特別需要符合FIPS的實施,並且已安裝符合FIPS的OpenSSL庫,則可以使用openssl_digest()作爲替代方案。 (但是,請記住,即使使用鹽,這也不是一種安全的存儲密碼的方法)。
相關問題
- 1. 是否有符合FIPS的iTextSharp版本?
- 2. 是SqlCipher for iOS符合FIPS
- 3. 是二郎神19.xx是符合FIPS?
- 4. PHP中的password_hash()
- 5. 符合FIPS標準的CWE-326 AES256
- 6. WinXP上符合FIPS標準的HashAlgorithm?
- 7. PHP的password_hash行爲()
- 8. Double password_hash php
- 9. 是否可以在Perl中創建符合FIPS 140-2的服務器?
- 10. 爲什麼SHA512管理不符合FIPS?
- 11. 哪個.NET SHA1類符合FIPS?
- 12. 使ASP.NET Web應用程序符合FIPS?
- 13. 如何使Weblogic 11gR2(10.3.3)符合FIPS-140
- 14. CRYPTOPP中符合FIPS 140-2的是什麼?
- 15. 符合FIPS 140標準的應用程序是什麼意思?
- 16. 什麼是password_hash
- 17. PHP password_hash():密碼哈希是否可在系統之間移植?
- 18. 什麼是PHP手冊中password_hash
- 19. PHP中的password_hash()怎麼樣
- 20. PHP的password_hash()向後兼容?
- 21. TripleDESCryptoServiceProvider FIPS 140-2合規性
- 22. WiX heat.exe工具FIPS合規
- 23. FIPS合規性和BouncyCastle
- 24. PHP <5.5:password_hash compatible crypt hashing
- 25. PHP - ldap_add userPassword crypt和password_hash
- 26. hash_pbkdf2 VS password_hash PHP函數
- 27. php password_hash相當於livecode
- 28. PHP password_hash每次都改變
- 29. php password_hash和password_verify問題
- 30. PHP登錄使用password_hash
password_hash有一個「內置」鹽。如果它只是它使用的特定散列算法的問題,則可以決定。 – 2016-11-16 21:28:34
http://security.stackexchange.com/questions/98214/why-should-i-choose-sha-such-as-sha-512-instead-of-bcrypt-or-pbkdf2-for-fips –