保护PHP密码的 hash and salt

免责声明 ：该答案写于2008年。

从那时起，PHP就给了我们password_hash，password_verify并且自介绍以来，它们是推荐的密码哈希和检查方法。

答案的理论仍然是一个很好的阅读。

TL; DR

不要

• 不要限制用户可以输入哪些字符作为密码。只有白痴这样做。
• 不要限制密码的长度。如果您的用户想要一个句子，其中包含supercalifragilisticexpialidocious，请不要阻止他们使用它。
• 不要在密码中剥离或转义HTML和特殊字符。
• 切勿以纯文本形式存储用户密码。
• 除非 用户忘记了密码， 否则 不要通过电子邮件将密码发送给您的用户 ，而是您发送了一个临时 密码 。
• 永远不要以任何方式记录密码。
• 切勿使用SHA1或MD5甚至SHA256 哈希密码！现代饼干可以分别超过60和1800亿个哈希/秒。
• 请勿将[bcrypt与hash（）的_原始_输出混合使用，请使用十六进制输出或base64_encode对其进行编码。（这适用于其中可能有恶意的任何输入\0，这会严重削弱安全性。）

多斯

• 尽可能使用scrypt；如果不能，请使用bcrypt。
• 如果不能使用带有SHA2散列的bcrypt或scrypt，请使用PBKDF2。
• 数据库受到威胁时，请重置每个人的密码。
• 实施合理的8-10个字符的最小长度，再加上至少1个大写字母，1个小写字母，一个数字和一个符号。这将改善密码的熵，从而使其更难以破解。（有关一些辩论，请参见“什么才是好的密码？”部分。）

为什么仍要hash密码？

hash密码的目的很简单：通过破坏数据库来防止对用户帐户的恶意访问。因此，密码哈希的目的是通过花费大量时间或金钱来计算纯文本密码，从而阻止黑客或黑客。时间/成本是您武器库中最好的威慑力量。

您想要对用户帐户进行良好而可靠的哈希处理的另一个原因是，给您足够的时间来更改系统中的所有密码。如果您的数据库遭到破坏，您将需要足够的时间 至少
锁定系统，如果不更改数据库中的每个密码。

Whitehat Security的首席技术官Jeremiah Grossman 在最近的密码恢复后要求在蛮力破解他的密码保护之后

有趣的是，在摆脱这场噩梦的过程中，我学到了很多我不知道的有关密码破解，存储和复杂性的信息。 _我已经明白了为什么密码存储比密码复杂性重要得多。
如果您不知道密码的存储方式，那么您真正可以依靠的仅仅是复杂性。_这可能是密码和加密专家的常识，但是对于一般的InfoSec或Web安全专家而言，我对此表示高度怀疑。

（强调我的。）

无论如何，什么才是 好的 密码？

xkcd。（并不是我完全赞同兰德尔的观点。）

简而言之，xkcd就是密码中的变化量。当密码仅为小写罗马字母时，则只有26个字符。差异不大。字母数字密码最好使用36个字符。但是允许带符号的大写和小写字母约为96个字符。这比仅字母要好得多。一个问题是，为了使我们的密码令人难忘，我们插入了模式，从而减少了xkcd。糟糕！

密码熵近似容易。使用全部范围的ascii字符（大约96个可键入字符），每个字符的熵为6.6，而对于8个字符的密码，它的熵仍然太低（熵的52.679位），对于将来的安全性而言太低了。但好消息是：更长的密码以及带有unicode字符的密码，确实增加了密码的熵并使其更难以破解。

在我与@popnoodles交谈的评论中，他指出_强制_X长度为X的密码策略包含X个字母，数字，符号等，实际上可以通过使密码方案更可预测来减少熵。我同意。随机性，尽可能真正地随机性，始终是最安全但最难忘的解决方案。

据我所知，制作世界上最好的密码是Catch-22。它不是令人难忘，太可预测，太短，太多的Unicode字符（在Windows
/移动设备上很难键入），太长的时间等等。没有密码能真正满足我们的目的，因此我们必须像保护它们一样保护它们在诺克斯堡。

最佳实践

Bcrypt和scrypt是当前的最佳实践。Scrypt在时间上会比bcrypt更好，但是它尚未被Linux
/ Unix或Web服务器视为采用标准，并且尚未对其算法进行深入审查。但是，该算法的未来看起来确实很有希望。如果您正在使用Ruby，那么有一个scryptgem可以为您提供帮助，而Node.js现在拥有自己的scrypt包。您可以通过Scrypt扩展或Libsodium]扩展（在PECL中都可用）在PHP中使用Scrypt 。

我强烈建议您阅读crypt函数的文档，如果您想了解如何使用bcrypt，或者为自己找到一个好的包装器，或者将类似PHPASS的东西用于更传统的实现。我建议至少进行12轮bcrypt，如果不是15到18轮。

当我了解到bcrypt仅使用河豚的密钥调度以及可变成本机制时，我改变了对使用bcrypt的想法。后者使您可以通过增加河豚已经昂贵的密钥计划来增加暴力破解密码的成本。

一般做法

我几乎无法想象这种情况了。PHPASS支持PHP
3.0.18到5.3，因此几乎可以在所有可以想到的安装中使用它-如果 不确定 您的环境是否支持bcrypt ，则应使用它。

但是，假设您根本无法使用bcrypt或PHPASS。然后怎样呢？

尝试以您的环境/应用程序/用户感知可以容忍的最大回合数来]实现PDKBF2。我建议的最低数量是2500发。此外，请确保使用hash_hmac（）如果可用）以使操作难以重现。

未来实践

PHP
5.5中引入了一个[完整的密码保护库，该库抽象了使用bcrypt的所有麻烦。尽管我们大多数人在最常见的环境（尤其是共享主机）中都坚持使用PHP5.2和5.3，但@ircmaxell 为即将到来的API构建了一个兼容层，该层向后兼容PHP5.3.7。

密码学回顾与免责声明

实际 _破解_散列密码所需的计算能力不存在。计算机“破解”密码的唯一方法是重新创建密码并模拟用于保护密码的hash算法。hash的速度与其被强行使用的能力成线性关系。更糟糕的是，大多数哈希算法可以很容易地并行化以更快地执行。这就是为什么像bcrypt和scrypt这样的昂贵方案如此重要的原因。

你不可能预见攻击的所有威胁或途径，所以你必须保护用户你最大的努力 了前面 。如果您不这样做，那么您甚至可能会错过被攻击的事实，直到为时已晚…
而您负有责任
。为了避免这种情况，首先要采取偏执的态度。（内部）攻击您自己的软件，并尝试窃取用户凭据，或修改其他用户的帐户或访问其数据。如果您不测试系统的安全性，那么您就不能怪任何人。

最后：我不是密码学家。我所说的只是我的看法，但我碰巧认为这是基于良好的常识……以及大量的阅读资料。请记住，要尽可能地偏执，使事情难以侵入，然后，如果您仍然担心，请联系白帽黑客或密码专家，以了解他们对您的代码/系统的看法。