SHA1, MD5 oder SHA256: Welchen Hashing-Algorithmus sollte ich für PHP-Anmeldungen verwenden?

SHA1, MD5 oder SHA256: Welches ist am besten für PHP-Anmeldungen geeignet?

Wählen Sie bei der Implementierung eines PHP-Anmeldesystems den optimalen Hashing-Algorithmus ist von entscheidender Bedeutung für die Gewährleistung der Sicherheit gespeicherter Passwörter. In diesem Artikel werden die drei gängigen Optionen SHA1, MD5 und SHA256 verglichen und die sicherste Wahl empfohlen: bcrypt.

SHA1, MD5 und SHA256: Gibt es Sicherheitsunterschiede?

Keiner dieser Algorithmen ist von Natur aus sicherer als die anderen. Sie wurden auf Geschwindigkeit optimiert, sodass sie bei Verwendung spezieller Hardware anfällig für Risse sind.

Verwendung eines Salzes mit SHA1/256

Die Verwendung eines Salzes wird zwar empfohlen, ist es aber nicht aus, um die Schwächen von SHA1 und SHA256 zu mildern. Der Angreifer kann weiterhin Brute-Force- oder Rainbow-Table-Angriffe auf die Salted-Hashes anwenden.

Sichere Speicherung von Passwort-Hashes

Die bereitgestellte Funktion zum Erstellen eines Salts ist unzureichend. Es verwendet eine schlecht konzipierte MD5-Funktion, die auch anfällig für Angriffe ist.

Die bessere Wahl: bcrypt

Für moderne PHP-Anwendungen ist bcrypt die empfohlene Option. Es handelt sich um einen auf Arbeitsfaktoren basierenden Hashing-Algorithmus, der von Natur aus Salting und iteriertes Hashing beinhaltet, was ihn äußerst widerstandsfähig gegen Cracking macht.

Implementierung von bcrypt in PHP 5.5

PHP 5.5 wurde integriert eingeführt -in-Funktionen für das Passwort-Hashing, wobei standardmäßig bcrypt verwendet wird. So verwenden Sie sie:

<code class="php">// Create a hash
$hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);

// Verify the password
if (password_verify($password, $hash)) {
    // Success! Log the user in.
}</code>

Verwenden Sie für ältere PHP-Versionen „password_compat“, um die API verfügbar zu machen.

Vorbehalte von bcrypt

• Kürzung von Passwörtern, die länger als 72 Zeichen sind.
• Kürzung von Passwörtern, die NUL-Zeichen enthalten.

Um diese Einschränkungen zu beheben, sollten Sie die Verwendung von Bibliotheken von Drittanbietern wie ZendCrypt oder PasswordLock in Betracht ziehen.

TL;DR

Verwenden Sie nicht SHA1, MD5 oder SHA256 für PHP-Anmeldungen. Entscheiden Sie sich stattdessen für bcrypt für maximale Sicherheit und Widerstandsfähigkeit gegen Cracking.

Das obige ist der detaillierte Inhalt vonSHA1, MD5 oder SHA256: Welchen Hashing-Algorithmus sollte ich für PHP-Anmeldungen verwenden?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!