数据库密码安全，用php加密确实有区别？

Question

关于密码和数据库安全，意识到用户访问用户的唯一方法是询问是否有人访问数据库，他不需要用户密码，他可以对数据库本身进行更改。
关于加密，我发现在PHP手册上，河豚是最明显的，但我找到了一个在线解密器在谷歌的第一个结果搜索，加上，黑客可能会知道如何解密任何密码，他已经得到数据库密码本身。
你对此有何想法？密码加密是否真的需要，而且安全？先谢谢你。

Answer 1

有人可以使用SQL注入来获取用户的密码。在这种情况下，他可能无法访问任何表之外的用户表，所以

是否真的使性差异，如果用户的密码散列或加密

肯定。除此之外，如果您有版主，开发人员以及您在查看此表格，则作为用户，如果您正在查看散列，而不是实际的密码，我会感觉更舒适，因为我可以在其他站点。总的来说，它为用户提供了更多的安全性和舒适性，所以真正的问题是，为什么不呢？

Answer 2

关于加密，我找到PHP手册是河豚是最 表示，但香港专业教育学院发现了第一个结果搜索 一个在线解密在谷歌

最好的解决办法就是散列你密码，而不是加密它们。许多人犯加密与哈希混淆的错误（反之亦然）。加密文本可以解密，而散列是单向的。即一旦你散列了一些东西，你就不能“去散列”它。你在找什么是Bcrypt，这是一个散列算法，它是根据的Blowfish密码。

在关于攻击者获得对您的密码访问哈希：

除了包含盐，以防止彩虹表攻击， bcrypt是一种自适应功能：随着时间的推移，迭代次数可以 增加到使它变得更慢，所以即使在增加计算能力的情况下它仍然能够抵抗强力的搜索攻击。

关于Bcrypt的好处是速度慢，这意味着尝试和破解Bcrypt哈希（取决于盐的迭代和随机性）相对昂贵。

Answer 3

如果攻击者获得用户的密码，他有他的密码。
如果攻击者获得用户密码的散列，他只有密码散列而不是密码本身。

现在想起人们的懒惰：有可能检索到的密码不是唯一的这个帐户，但也适用于其他帐户（电子邮件，Twitter，Facebook等）。这实际上一直在发生。

如果您只是使用强密码散列方案（如bcrypt，scrypt或PBKDF2）存储用户密码的散列，黑客就需要大量资源（时间或处理能力）来猜测或蛮力密码。

顺便说一下：哈希函数是不可逆的。这些散列颠倒站点只是巨大的查找表，它返回一个密码，用于已知的密码+散列对。

Answer 4

我明白，哈希会使密码本身更安全，但不是数据库。我正在阅读有关密码安全的信息，并且我想问问用户，什么会更安全。 为每个用户使用单盐，并存储在用户表中（是否有更好的方法来存储？）或为每个人使用盐？

Answer 5

我想对已经给出的良好答案做一些补充。

首先，您提到的Blowfish确实是一种加密算法，可以解密。但不要混淆Blowfish与BCrypt这是一个基于Blowfish的哈希算法。

二，你散列攻击者的密码，可以读你的数据库。获取读取访问比写入访问要容易得多，一种常用的技术是SQL注入。您可以在demo中自己尝试一下，点击→箭头以填写准备好的输入。

1. 因此，虽然攻击者可以读取数据库，但这并不意味着他可以写入数据库。因为他只知道密码的散列，所以他不能在登录表单中输入原始密码。
2. 如果攻击者也有写入权限，您不能阻止他使用您的帐户，但他仍然不知道原始密码，并且无法在其他网站上尝试。