为了好玩,在我的业余时间,我正在为自己的目的创建一个简单的 CMS(希望稍后发布以供更广泛的使用......稍后),使用 PHP。我目前正在研究登录方案,并且有几个问题。
注意:最终结果总是使用河豚和 15 的成本参数通过crypt传递 (通常希望成本参数 15 的长度足以伤害黑客攻击,但又不足以让用户感到沮丧。)
问题 1:假设我使用的是 SSL/TLS:在将密码传递给 bcrypt(使用给定的参数和适当的盐)并将其推送到数据库之前,我真的需要混淆密码吗?
问题 1.a:由于我无法访问 SSL/TLS(目前我的网络主机成本太高),在通过之前在密码上使用漩涡哈希(或来自 sha-2 系列的东西)客户端它对服务器来说是一个“足够好”的安全案例,还是那个哈希容易受到彩虹表攻击?(这假设我试图在帐篷上而不是在银行金库上放置一个帐篷襟翼。银行金库可以负担 SSL/TLS。)
问题2:每次用户再次登录时为密码创建一个新的salt是否值得,还是我只需要在注册时为该用户创建一个具有适当熵的唯一salt,然后离开?