переменные — самый безопасный способ хранить пароли в переполнении стека

Мне просто интересно, если это безопасно для использования. (хранение openssl_random_pseudo_bytes () в переменной)

$pass = openssl_random_pseudo_bytes(96);

Потому что некоторые из вас говорят, что я не должен хранить пароли в переменных!

0

Решение

Я бы использовал Blowfish. Это очень безопасно и поставляется с PHP!

http://php.net/manual/en/function.crypt.php

Это просто, и каждый сервер с PHP имеет его — единственный недостаток, как и другие передовые методы шифрования — это мог будь медленным Но я бы не волновался.

РЕДАКТИРОВАТЬ

Я прочитал вашу правку и да, я не думаю, что хранил пароли, особенно хэшированные, в _SESSION или переменной, потому что нет причин для этого. Если вы это сделали, что если кто-то использовал атаку, которая затормозила один из сеансов ваших клиентов? Их пароль будет украден. Кроме того, метод openssl, о котором вы упоминаете, имеет под капотом OpenSSL, что означает, что он так же уязвим, как и сам OpenSSL. OpenSSL в прошлом сталкивался с серьезными недостатками, и это может повториться.

Просто храните зашифрованный пароль в БД, и все будет в порядке.

РЕДАКТИРОВАТЬ 3

Я прочитал ваш комментарий, я не знал, что это была страница, которую вы использовали для шифрования и хранения паролей. Мы все думали, что вы храните пароли на странице только потому, что. Если вы используете это плюс Blowfish и сохраните пароль в БД, это будет безопасно. Я думаю, вам нужно беспокоиться только о том, чтобы кто-то украл БД, но у него должно быть много ресурсов, чтобы расшифровать только раздувание, если пароль достаточно строковый.

Вы делаете хорошую работу, просто добавьте пышку, и все будет хорошо.

0

Другие решения

Других решений пока нет …

По вопросам рекламы [email protected]