更好的方案是将盐和密文分开存储,比如密文存储在mysql数据库中,盐存储在redis服务器中,这样即使黑客“脱裤”拿到了数据库中的密文,也需要再进一步拿到对应的盐才能进一步破解,安全性更好,不过这样需要进行二次查询,即每次登陆都需要从redis中取出对应的盐,牺牲了一定的性能,提高了安全性。
php5.5中更加安全的解决方案
说php是专为为web设计的语言一点也没错,应该是php开发者也注意到了这个密码保存的问题。
于是php5.5开始,就设计了password_hashing模块,用于密码的哈希和验证。
http://php.net/manual/zh/book.password.php
使用password_hash进行哈希,使用的算法、cost 和盐值作为哈希的一部分返回,所以不用单独保存salt的值,因为它每次都会自己生成salt,所以优点就是“每次加密的结果都不一样”,但是可以放心,加密结果包含了salt信息,password_verify可以正确解析。
$password = "1234"; $hash = password_hash($password,PASSWORD_DEFAULT);
哈希之后的结果,只能使用password_verify进行验证,因此验证密码的功能只能由php语言来实现。
$password = "1234"; $hash = password_hash($password,PASSWORD_DEFAULT); $res = password_verify($password,$hash); //验证结果为true
优缺点分析
优点是安全性很高,即使被脱裤,也很难将密文解密,因为同一个密文,每次加密的结果都不一样,所以没法撞库!
password_hash实际上是对crypt和salt的封装,crypt加密比普通的md5和sha1更加复杂,所以耗时也更加多一些,这可以算是一个缺点,对于用户量很大,经常需要进行登录操作的站点,可能会有性能上的影响。还有一点是通用性不强,因为这种方式只适用于php语言,其他语言是没有办法对密文进行操作的。
刚才测试了一下password_hash的性能,吓的半死。。
md5.php
<?php
$stime = microtime(true);
$password = "root123@";
$salt = "83979fklsdfgklu9023*&*(&()#&*(Y*(@&*<:L:%:::>><??11!!^%^$%$%^<>YUIYUIhjkdshfJKH#J#HJK#HKl;dskfs";
for($i=0;$i<100;$i++){
$res = md5($password);
}
$etime = microtime(true);
echo "stime:$stime<br/>";
echo "etime:$etime<br/>";
echo "cost:".($etime-$stime);
运行结果:
stime:1478265603.1118
etime:1478265603.1229
cost:0.011116981506348
password_hash.php
<?php
$stime = microtime(true);
$password = "root123@";
for($i=0;$i<100;$i++){
$res = password_hash($password,PASSWORD_DEFAULT);
}
$etime = microtime(true);
echo "stime:$stime<br/>";
echo "etime:$etime<br/>";
echo "cost:".($etime-$stime);
内容版权声明:除非注明,否则皆为本站原创文章。