Erstellen von Hashes für Passwörter

Question

Ich erstelle ein eigenes CMS und haben ein Login-System gebaut und wanderte, wie verletzlich die Passwörter Hashing auf diese Weise nur mit der md5 PHP-Funktion wie folgt verglichen werden würde:

<?php $token = md5($salt . $password . $pepper); ?> 

meisten Menschen fügen sie einfach ein Salz aber das hinzufügen Pfeffer macht nur Sinn, wenn Ihr Salz :)

hier hinzufügen gehen wird, wie ich es

<?php $token = hash_hmac('sha512', $salt . $password . $pepper, $key); ?> 

die $ Schlüssel im dat ein Wert wäre tue Dies ist für jeden Benutzer einzigartig. Die $ salt und die $ pepper sind zufällig generierte Strings. Das $ Passwort ist natürlich das Passwort.

Hergestellt am 07/24/09

Vielen Dank für Ihre Antworten. Hat jemand ein Beispiel dafür, wie er ein Hash-Skript zum Erstellen von Kennwörtern zum Speichern in einer Datenbank ausführt?

Answer 1

ähnlich: https://stackoverflow.com/questions/1111494

Stellen Sie sicher, Sie dies lesen:

http://www.matasano.com/log/958/enough-with-the-rainbow-tables-what-you-need-to-know-about-secure-password-schemes/

Und:

bcrypt is obsolete

Answer 2

Ihre Methode verwendet einen stärkeren Hash.

Ich sehe nicht, dass Sie sich für zusätzliche Sicherheitslücken öffnen.

Answer 3

MD5 ist für jeden Verschlüsselungs Zweck nicht geeignet, SHA -1 oder vorzugsweise SHA-256.

http://www.mscs.dal.ca/~selinger/md5collision/