Perché l'opzione salt è stata deprecata a partire da PHP 7.0.0?

Question

Perché l'opzione salt è stata deprecata a partire da PHP 7.0.0?

#1 da (6 voti)

2

È meno sicuro?

echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT);
=> $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K

E con costi aggiuntivi:

$options = [
    'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options);

=>$2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K

È "troppo prevedibile"?

Domanda aggiuntiva: se viene visualizzata una password crittografata sopra, quanto tempo ci vorrà per crearne una? Dato che gli hacker hanno dozzina di buoni computer che impiegano solo poche ore a decifrare la password dell'amministratore in sha256 senza sapere il sale.

Disclaimer : ho letto per la prima volta sulla crittografia 13 anni fa, ma la mia CPU del cervello non è mai stata in grado di elaborare completamente questi concetti, troppa matematica. Ora il mio capo mi assegna il compito, quindi credo che la semplice domanda possa aiutarmi un po '.

php encryption salt

posta Phung D. An 20.06.2018 - 17:49

fonte

1 risposta

Leggi altre domande sui tag php encryption salt

La password One Time basata su tempo migliora la sicurezza in caso di perdita del database? È sicuro usare un linguaggio di programmazione come browser? [chiuso]

score 6 · Answer 1

Non è meno sicuro perché in assenza di un sale fornito manualmente, un sale generato in modo sicuro viene automaticamente creato e utilizzato. Quindi, l'opzione di fornire il proprio, mentre potrebbe essere as sicuro, non sarebbe mai più sicuro, e potrebbe facilmente essere (e probabilmente spesso era) meno sicuro se la tecnica di generazione del sale era scarsa.

Se ciò significava che niente sale come tutti erano usati, sarebbe davvero meno sicuro, ma fortunatamente non è così ... Stai solo ottenendo una configurazione predefinita più sicura.