3
我正在检查PHPass库,它已经在SO上的很多答案中被推荐。但是,当我查看生成的密码,我看到这样的事情:PHP密码散列 - PHPass
现在一些这些都只是1234的,有些是更复杂一点。有些非常复杂(大写,小写,字符)等等。但是,我仍然看到前7个字符总是相同的,不管密码是什么。这难道不容易猜到吗?我不太了解彩虹或字典的攻击,但这看起来很奇怪。这是通常的吗?这是一个错误?该框架是否足以在生产环境中使用?
A
回答
2
这个第一个字符只是哈希方法的“描述”。由于这一点,您将能够识别并重新使用该方法来检查密码。即使在不同的服务器上或者在改变散列新密码的方法之后(旧的仍会被识别)。
你可以阅读关于这个前缀,这里http://www.php.net/security/crypt_blowfish.php
相关问题
- 1. Phpass散列密码检查
- 2. 在Codeigniter中使用PHPass散列密码
- 3. PHP:密码散列
- 4. 便携式(PHPass)密码散列。我应该使用它们吗?
- 5. phpass存储密码
- 6. unHash /解密phpass密码
- 7. PBKDF2 PHP的密码散列
- 8. 散列密码PHP mySQLI
- 9. 2011年PHP密码散列
- 10. 散列密码
- 11. 散列密码
- 12. 密码散列
- 13. 散列密码
- 14. 散列密码
- 15. PHP PBKDF2密码散列代码
- 16. phpass autologin?
- 17. password_verify - 密码散列
- 18. 散列密码,SQL
- 19. 散列密码的加密?
- 20. 加密与散列密码
- 21. 解密散列密码
- 22. 使用散列密码登录PHP
- 23. bootstrap-table密码列散列
- 24. 密码恢复与sha1密码散列
- 25. 如何检查密码是否散列 - PHP
- 26. 生成用于Wordpress密码的PHPass
- 27. 散列密码不匹配
- 28. 在cookies中散列密码
- 29. 访问散列密码
- 30. 密码SHA散列登录
新的你的意思是使用的算法?如果是这样的话,为什么需要7个字符来表示这个呢?不会有单个字符或类似$ b $的东西能够实现吗? –
@ DS。也许它会是足够的,但不是因为河豚的情况,因为它还需要'成本'参数,它介于第二和第三'$'之间。 –
感谢您的链接。我在Google上搜索不相关的东西。任何对这种“成本”提及感到好奇的人,我也会留下这个链接。 http://php.net/manual/en/function.crypt.php –