为新用户创建哈希(作为验证ID)以验证其帐户的最佳算法是什么?
在我看来,MD5似乎是答案,但是所有消息来源至少都有3或4年的历史。我只想确保MD5仍然是当今的最佳选择...
我使用的password_hash()
功能是使用Blowfish算法并添加随机盐的密码,但是对于验证ID来说是必需的吗?
为此,MD5只是一种“编码”。只要运行MD5的源值是适当随机的,就可以安全地使用它。
任何随机的(使用适当的算法)128位值都将进行文件化(GUID(只要是v4)或仅base64编码的加密随机字节数组,或同一数组上的MD5)。
您只需要确保它不能被猜到即可。因此,大多数情况下,您希望通过IP地址添加某种无效令牌计数器,该计数器会在一定次数后阻止访问。
同样,出于相同的原因,您可能希望为代码添加某种形式的有效期(例如有效期为24小时)。
本文收集自互联网,转载请注明来源。
如有侵权,请联系[email protected] 删除。
我来说两句