相关问题:
Am I using PHP's crypt() function correctly?
Password storage hash with SHA-512 or crypt() with blowfish (bcrypt)
我正在尝试弄清楚应该如何使用 PHP 安全地存储密码。稍作阅读后,我确定我应该使用 crypt() 而不是 hash() 并且我应该使用 blowfish (bcrypt) 或 SHA-512 算法,我相信 bcrypt 被更频繁地推荐,尽管有显着也支持基于 SHA-512 的算法。
还有很多建议我的 salt 应该尽可能随机,很多建议在核心 rand() 和 上使用 .openssl_random_pseudo_bytes() mt_rand()
我的主要问题是:
如果我选择使用 bcrypt,我应该考虑使用哪些负载因子?我注意到对于 PHP 5.5,新密码 API 中的默认加载因子是 10,所以我想我至少需要该值。
负载因子与密码安全性有何关联?据我了解,该算法将迭代 2^load_factor 次,但我更感兴趣的是这如何转化为针对暴力破解方法的安全性。 “安全”是什么意思?破解需要10年吗? 5年? 1 年?
为什么我应该选择 bcrypt 而不是基于 SHA-512 的方法(反之亦然)?我听说 SHA-512 被设计成一种快速的散列方法,所以随着时间的推移它不会像 bcrypt 那样有效。这是真的?这两种方法都有盐参数,允许 crypt 迭代多次。
据我所知,我实现了以下生成 bcrypt 盐的测试代码。是推荐的方法吗?有更好的方法吗?
_
function gen_salt($cost)
{
return "$2y$" . $cost . "$" . str_replace('+', '.', base64_encode(openssl_random_pseudo_bytes(22)));
}
最佳答案
因此,根据评论,我创建了一个简单的基准来测试各种哈希方法需要多长时间。
function bcrypt_salt($cost)
{
return "$2y$" . $cost . "$" . str_replace('+', '.', base64_encode(openssl_random_pseudo_bytes(22))) . '$';
}
function sha512_salt($cost)
{
return "\$6\$rounds=" . $cost . "\$" . openssl_random_pseudo_bytes(16) . '$';
}
$password = "stackoverflow";
$times = 1;
echo "<p>bcrypt method</p>";
for($iters = 10; $iters < 15; ++$iters)
{
$salt = bcrypt_salt(strval($iters));
$pword_crypt = crypt($password, $salt);
$start_time = microtime(true);
for($i = 0; $i < $times; ++$i)
{
crypt($password, $pword_crypt);
}
$end_time = microtime(true);
echo "<p> cost = $iters: " . ($end_time - $start_time) . "</p>";
}
echo "<p>SHA512 method</p>";
for($iters = 1024; $iters < 1000000; $iters *= 2)
{
$salt = sha512_salt(strval($iters));
$pword_crypt = crypt($password, $salt);
$start_time = microtime(true);
for($i = 0; $i < $times; ++$i)
{
crypt($password, $pword_crypt);
}
$end_time = microtime(true);
echo "<p> log2(iters) = ". log($iters,2) . ": " . ($end_time - $start_time) . "</p>";
}
基准测试结果(以秒为单位):
在配备 i5-m430 的笔记本电脑上运行:
bcrypt method
cost = 10: 0.11740303039551
cost = 11: 0.23875308036804
cost = 12: 0.46739792823792
cost = 13: 0.96053194999695
cost = 14: 1.8993430137634
SHA512 method
log2(iters) = 10: 0.0034840106964111
log2(iters) = 11: 0.0077731609344482
log2(iters) = 12: 0.014604806900024
log2(iters) = 13: 0.02855396270752
log2(iters) = 14: 0.068222999572754
log2(iters) = 15: 0.12677311897278
log2(iters) = 16: 0.24734497070312
log2(iters) = 17: 0.54663610458374
log2(iters) = 18: 1.0215079784393
log2(iters) = 19: 2.0223300457001
在所有条件相同的情况下,与 bcrypt 相比,SHA-512 方法需要更多的迭代次数才能花费相同的时间。话虽如此,我猜测任何至少需要十分之一秒的方法都绰绰有余。
关于php - 地穴和密码存储问题,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/12856296/
我想为Heroku构建一个Rails3应用程序。他们使用Postgres作为他们的数据库,所以我通过MacPorts安装了postgres9.0。现在我需要一个postgresgem并且共识是出于性能原因你想要pggem。但是我对我得到的错误感到非常困惑当我尝试在rvm下通过geminstall安装pg时。我已经非常明确地指定了所有postgres目录的位置可以找到但仍然无法完成安装:$envARCHFLAGS='-archx86_64'geminstallpg--\--with-pg-config=/opt/local/var/db/postgresql90/defaultdb/po
我主要使用Ruby来执行此操作,但到目前为止我的攻击计划如下:使用gemsrdf、rdf-rdfa和rdf-microdata或mida来解析给定任何URI的数据。我认为最好映射到像schema.org这样的统一模式,例如使用这个yaml文件,它试图描述数据词汇表和opengraph到schema.org之间的转换:#SchemaXtoschema.orgconversion#data-vocabularyDV:name:namestreet-address:streetAddressregion:addressRegionlocality:addressLocalityphoto:i
尝试通过RVM将RubyGems升级到版本1.8.10并出现此错误:$rvmrubygemslatestRemovingoldRubygemsfiles...Installingrubygems-1.8.10forruby-1.9.2-p180...ERROR:Errorrunning'GEM_PATH="/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/ruby-1.9.2-p180@global:/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/rub
我的最终目标是安装当前版本的RubyonRails。我在OSXMountainLion上运行。到目前为止,这是我的过程:已安装的RVM$\curl-Lhttps://get.rvm.io|bash-sstable检查已知(我假设已批准)安装$rvmlistknown我看到当前的稳定版本可用[ruby-]2.0.0[-p247]输入命令安装$rvminstall2.0.0-p247注意:我也试过这些安装命令$rvminstallruby-2.0.0-p247$rvminstallruby=2.0.0-p247我很快就无处可去了。结果:$rvminstall2.0.0-p247Search
由于fast-stemmer的问题,我很难安装我想要的任何rubygem。我把我得到的错误放在下面。Buildingnativeextensions.Thiscouldtakeawhile...ERROR:Errorinstallingfast-stemmer:ERROR:Failedtobuildgemnativeextension./System/Library/Frameworks/Ruby.framework/Versions/2.0/usr/bin/rubyextconf.rbcreatingMakefilemake"DESTDIR="cleanmake"DESTDIR=
当我尝试安装Ruby时遇到此错误。我试过查看this和this但无济于事➜~brewinstallrubyWarning:YouareusingOSX10.12.Wedonotprovidesupportforthispre-releaseversion.Youmayencounterbuildfailuresorotherbreakages.Pleasecreatepull-requestsinsteadoffilingissues.==>Installingdependenciesforruby:readline,libyaml,makedepend==>Installingrub
我正在尝试使用boilerpipe来自JRuby。我看过guide从JRuby调用Java,并成功地将它与另一个Java包一起使用,但无法弄清楚为什么同样的东西不能用于boilerpipe。我正在尝试基本上从JRuby中执行与此Java等效的操作:URLurl=newURL("http://www.example.com/some-location/index.html");Stringtext=ArticleExtractor.INSTANCE.getText(url);在JRuby中试过这个:require'java'url=java.net.URL.new("http://www
我意识到这可能是一个非常基本的问题,但我现在已经花了几天时间回过头来解决这个问题,但出于某种原因,Google就是没有帮助我。(我认为部分问题在于我是一个初学者,我不知道该问什么......)我也看过O'Reilly的RubyCookbook和RailsAPI,但我仍然停留在这个问题上.我找到了一些关于多态关系的信息,但它似乎不是我需要的(尽管如果我错了请告诉我)。我正在尝试调整MichaelHartl'stutorial创建一个包含用户、文章和评论的博客应用程序(不使用脚手架)。我希望评论既属于用户又属于文章。我的主要问题是:我不知道如何将当前文章的ID放入评论Controller。
我正在编写一个简单的静态Rack应用程序。查看下面的config.ru代码:useRack::Static,:urls=>["/elements","/img","/pages","/users","/css","/js"],:root=>"archive"map'/'dorunProc.new{|env|[200,{'Content-Type'=>'text/html','Cache-Control'=>'public,max-age=6400'},File.open('archive/splash.html',File::RDONLY)]}endmap'/pages/search.
首先回顾一下拉格朗日定理的内容:函数f(x)是在闭区间[a,b]上连续、开区间(a,b)上可导的函数,那么至少存在一个,使得:通过这个表达式我们可以知道,f(x)是函数的主体,a和b可以看作是主体函数f(x)中所取的两个值。那么可以有, 也就意味着我们可以用来替换 这种替换可以用在求某些多项式差的极限中。方法: 外层函数f(x)是一致的,并且h(x)和g(x)是等价无穷小。此时,利用拉格朗日定理,将原式替换为 ,再进行求解,往往会省去复合函数求极限的很多麻烦。使用要注意:1.要先找到主体函数f(x),即外层函数必须相同。2.f(x)找到后,复合部分是等价无穷小。3.要满足作差的形式。如果是加