为什么要将用户密码序列化
当设计一个需要用户设置密码的应用时,对密码进行散列是最基本的,也是必须考虑的安全考虑。如果不对用户密码进行散列处理,一旦用户数据库受到攻击时,用户密码将被窃取。同时,窃取者再去尝试其他应用,如果用户没有为每个应用单独设置密码,那么将面临风险。
通过对密码进行散列,然后再保存到数据库中,这样就使得攻击者无法直接获取原始密码,同时还可以保证你的应用可以对原始密码进行相同的散列处理,然后比对散列结果。
为何md5和sha1这些常见的函数不适合用在密码保护场景
MD5,SHA1 以及 SHA256 这样的散列算法是面向快速、高效 进行散列处理而设计的。随着技术进步和计算机硬件的提升, 破解者可以使用“暴力”方式来寻找散列码 所对应的原始数据。
因为现代化计算机可以快速的“反转”上述散列算法的散列值, 所以很多安全专家都强烈建议 不要在密码散列中使用这些散列算法。
建议使用password_hash
函数列表:
- password_hash()
- password_verify()
- password_needs_rehash()
- password_verify()
1 | $str = password_hash('123456'); //生成散列值 |