又说PHP的密码加密
php的密码加密依然是需要谨慎地,虽然我依然喜欢采用MD5,因为MD5的加盐可以随意定制,但是确实有越来越多的字典,可是盐可是随机的,绝对可以是“Password+我爱中华A41@4163”,而我们采用的盐虽然是随机的,但是是可见的,这个也是比较危险的问题,当时考虑的是盐可以自定,而实际上,盐可见,并且被保存,本身就是意见危险的事情,就算盐被MD5,也是定制。更何况他还被记录在数据库中。
可能你会想,数据库都被入侵了,想要什么都有了,还管他是不是可见的,又有什么意义呢?
这就涉及到另一个问题,用户的加密密码会泄漏。
那有什么问题呢?
那就有可能盐会被当做字典的内容。而且盐可见,也就是可以尝试登录。这个风险还是比较严重的。
所以计划用7月19日一天时间,考虑一下QSIS的密码采用哪个加密方式比较好,而PASSWORD_DEFAULT的密码默认bcrypt,所以,如果混合的话,是不是可以再加上以及MD5?或者加上MD5和其他的?呵呵