我有一个网站,它使用SHA1哈希作为密码。我最近读到以下文章,该文章主张不要将SHA1用于密码,因为SHA1从未被设计用于保护密码:http://arstechnica.com/security/2012/08/passwords-under-assault/4/
你能推荐一个我可以实现的好的hasing方法而不是SHA1吗?请提供一个教程的链接,该教程描述了如何使用php逐步实现加密方法?
首先,SHA1不是一种加密算法,它是一种哈希算法。
对于密码散列,我建议使用PHPass。它基本上使用了安装代码的系统上可用的最好的哈希算法。
phpass支持的首选(最安全)哈希方法是OpenBSD风格的基于Blowfish的bcrypt,也得到了我们的公共支持domaincrypt_blowfish包(用于C应用程序),在PHP中已知作为CRYPT_BLOWFISH,回退到基于BSDI样式的扩展DES散列,在PHP中称为CRYPT_EXT_DES,以及最后的回退到基于MD5的盐水和可变迭代计数密码哈希在phpass本身中实现(也称为可移植散列)。
bcrypt或scrypt,但是,php的scrypt并没有真正的实现。这篇文章值得一读,应该能为您提供所需的所有信息:http://www.zimuel.it/en/strong-cryptography-in-php/