将 md5 密码哈希转换为 PHP 5.5 password_hash()
PHP 5.5 中的新 password_hash API 很不错,我想开始在任何地方使用它.给定一个具有旧数据库的旧项目,其中密码存储在 md5 哈希中,将旧用户密码迁移到新的、更安全的 API 的最佳方法是什么? 除了简单地提示用户在下次登录时重置密码(这对用户来说是不切实际且烦人的)之外,我还考虑过使用当前的 md5 哈希作为我所有现有用户的 password_hash() 输入的可能
..
security相关内容
如何创建密码?
我想给一些应该像这样的用户提供一百万个密码: 必须至少有 6 个字符 它必须有数字和字母 我应该在这里使用 Random 吗?怎么样? 解决方案 RandomStringUtils 提供了一些生成随机字符串的方法,可以用作密码. 以下是一些创建 8 字符密码的示例: //仅包含字母字符的密码.for (int i = 0; i
..
盐、密码和安全性
..
使用 crypt() 和 password_hash() 函数加密后密码不匹配
我修改了我的旧帖子.我尝试了 crypt() 函数,现在尝试使用 password_hash() 和 password_verify() 来验证来自数据库的加密密码,但是在每次调用时,password_hash() 函数会重新调整不同的加密字符串,而 password_verify() 无法匹配它. 我就是这样做的. //如果有语法错误请忽略$数据 = '11';$dbpass = pas
..
自动生成的密码中要避免的字符
..
md5(uniqid) 对随机唯一令牌有意义吗?
我想创建一个令牌生成器,它生成用户无法猜到且仍然唯一的令牌(用于密码重置和确认码). 我经常看到这段代码;有意义吗? md5(uniqid(rand(), true)); 根据评论 uniqid($前缀,$moreEntopy = true) 产生 前 8 个十六进制字符 = Unixtime,后 5 个十六进制字符 = 微秒. 不知道$prefix-参数是怎么处理的..
..
高质量、简单的随机密码生成器
我有兴趣创建一个非常简单、高质量(加密)的随机密码生成器.有没有更好的方法来做到这一点? 导入操作系统,随机,字符串长度 = 13chars = string.ascii_letters + string.digits + '!@#$%^&*()'random.seed = (os.urandom(1024))print ''.join(random.choice(chars) for i in
..
API 密钥和秘密密钥如何工作?如果我必须将我的 API 和密钥传递给另一个应用程序,它会安全吗?
我刚刚开始思考 api 密钥和密钥是如何工作的.就在 2 天前,我注册了 Amazon S3 并安装了 S3Fox 插件.他们要求我提供访问密钥和秘密访问密钥,这两者都需要我登录才能访问. 所以我想知道,如果他们要我提供我的密钥,他们一定是把它存储在某个地方吧?这与询问我的信用卡号或密码并将其存储在他们自己的数据库中基本上不是一回事吗? 密钥和 api 密钥应该如何工作?他们需要保密到
..
加密数据库密码字段的必要性
听说出于安全考虑建议在数据库中对密码字段进行加密. 如果只有我的网站,我可以访问数据库.根据我们的网站政策,我查看其他人的密码也没有问题. 这是否也适用于我的网站,或者告诉这个背后有其他一些安全原因. 解决方案 指导是没有人 - 不是甚至用户自己 - 应该能够看到密码,并且它们不应该以允许检索它们的方式存储在数据库中.这是因为这些数据可能会以多种方式丢失 - 管理员可能会打印出
..
如何限制 Java 中 JPasswordField 中的位数?
我的 Java 代码在 Eclipse 中运行,但我需要添加一些功能. 首先,如何限制用户可以输入的位数?实际上我有一个 JPasswordField 可以让一个人输入密码,我希望这个 JPasswordField 最多限制为 4 位数字.那么如何在输入 4 位后立即停止输入呢? 那么,我该如何使用 JPassword 框的大小呢?有没有办法像 JTextField 一样修改它?因为我
..
我*必须*将第三方凭据存储在我的数据库中.最好的办法?
我的应用必须从第三方读取 SSL url.如何最好地将第三方凭据存储在我自己的数据库中,从而保护第三方凭据不被泄露?考虑绝对安全性和实用性.单向散列凭据没有用,因为我必须将凭据还原为 SSL 调用的纯文本.我在谷歌应用引擎上使用 python,我的应用使用谷歌凭据进行身份验证. 使用例如加密凭据AES 并将加密密钥保存在其他地方(只是移动问题),或 从凭据并保密算法(只是解决问题) 使用同
..
对于(PHP 5 <5.5.0),password_hash() 的替代方法是什么?
根据手册:password_hash这个函数可以用于(PHP 5 >= 5.5.0) 在寻找替代方法后,我从这里找到了这个简单的函数:http://www.sitepoint.com/password-hashing-in-php/ 函数 generateHash($password) {如果(定义(“CRYPT_BLOWFISH")&&CRYPT_BLOWFISH){$salt = '$
..
我应该使用什么哈希算法来存储密码?
我并不真正了解有关哈希算法强度的最新发展;目前我存储密码的最佳选择是什么? 另外,加盐和密钥拉伸能为我提供多少安全性? 解决方案 MD5 已损坏. SHA-1 有明显的弱点.李>目前认为 SHA-2 已足够. SHA-3 很快就会成为 FIPS 标准. 最佳做法是将密码哈希与随机加盐和密钥拉伸相结合,例如PBKDF2. 关于密码加盐、散列和拉伸的好讨论. 我的用C#实现密码
..
在 bash 文件中隐藏/加密密码以防止意外看到它
对不起,如果之前有人问过这个问题,我确实检查过但找不到任何东西...... 在 Unix 中是否有一个函数可以加密 和 解密批处理文件中的密码,以便我可以将其通过管道传输到 bash 文件中的一些其他命令中? 我意识到这样做并没有提供真正的安全性,如果有人在我的肩膀上查看脚本,更要防止他们意外看到密码:) 我在 Red Hat 5.3 上运行. 我有一个类似这样的脚本:
..
在 HTML 输入字段中禁用复制粘贴?
可能重复: 禁用使用Javascript复制/粘贴到HTML表单 我的银行似乎已禁用复制-粘贴用户名和密码. 它是如何完成的?它会提高安全性吗? 解决方案 您可以禁用粘贴输入,如下所示: html: javascript: window.onload = () =>{const myInput = document.getElementById('myInput
..
openssl_digest vs hash vs hash_hmac?盐与盐的区别HMAC?
我想使用 SHA512 来存储密码.为此,我应该使用 openssl_digest、hash 和 hash_hmac 中的哪一个?为什么? SALT & 有什么区别?HMAC? 我刚刚读到 HMAC 是建立在哈希函数之上的. 那么 SHA512+SALT+HMAC 真的有必要还是 SHA512+SALT 或 SHA512+HMAC? 解决方案 所以,首先,让我们弄清楚一件
..
如何在 Java 中使用 SHA-512 对密码进行哈希处理?
我一直在研究 Java 字符串加密技术,不幸的是我没有找到任何好的教程,如何在 Java 中使用 SHA-512 对字符串进行哈希处理;我阅读了一些关于 MD5 和 Base64 的博客,但它们并没有我想的那么安全(实际上,Base64 不是一种加密技术),所以我更喜欢 SHA-512. 解决方案 你可以将它用于 SHA-512 import java.nio.charset.Stand
..
为什么 JPasswordField.getPassword() 会创建一个包含密码的字符串?
Swing 的 JPasswordField 具有 getPassword() 方法返回一个 char 数组.我对此的理解是,数组可以在使用后立即归零,这样你就不会在内存中长时间徘徊敏感的东西.找回密码的旧方法是使用 getText(),它返回一个 String 对象,但它已被弃用. 所以,我的问题是为什么 Java 在使用 getPassword() 的检索过程中实际使用它?更清楚地说,我
..
“忘记密码"实施的最佳方式?
我正在寻找实现“忘记密码"功能的最佳方法. 我有两个想法: 当用户点击忘记密码时,用户需要输入用户名、电子邮件以及可能的出生日期或姓氏.然后将带有临时密码的邮件发送到用户电子邮件帐户.用户使用临时密码登录并重置密码. 类似,但电子邮件会包含一个链接,让用户重置密码. 或者任何人都可以建议我一个更好更安全的方法?我也在考虑发送临时密码或链接,强制用户在24小时内重置密码,否则
..
如何创建一个 laravel 哈希密码
我正在尝试为 Laravel 创建一个散列密码.现在有人告诉我使用 Laravel 哈希助手,但我似乎找不到它,或者我看错了方向. 如何创建 laravel 哈希密码?在哪里? 编辑:我知道代码是什么,但我不知道在哪里以及如何使用它,所以它给了我散列密码.如果我得到哈希密码,那么我可以手动将其插入数据库 解决方案 在 Laravel 中使用 Bcrypt 哈希密码: $pas
..