2017에 저장되는 비밀번호

Question

로그인 시스템으로 내 웹 사이트에서 작업하고 있습니다. 암호 저장 부분을 작업 중이며 사람들이 md5와 같은 것을 사용하지 말라고 말해주는 몇 개의 YouTube 동영상을보고 있습니다. 구식이기 때문에입니다.

톰 스콧이 패스워드를 저장하는 방법에 관해 만든 비디오를 보았습니다. 그는 어떻게하면 제대로 할 수 있는지에 대한 최근의 튜토리얼을 찾아 보라고 말씀 드렸습니다.

내 프로젝트의 경우 비밀번호를 직접 저장해야하며 Facebook 또는 Google 같은 로그인을 사용하지 않아야합니다.

스택 오버플로에 대한 많은 웹 사이트 및 질문을 보았지만 올해는 모두 설명되어 있지 않은 것으로 보입니다.

이제 암호를 저장하는 가장 좋은 방법은 2017 년입니까? 소금과 후추를 사용해야합니까? 다른 뭔가? 그리고 어떤 순간 해싱 알고리즘이 가장 좋습니까? 가능하면 PHP 내에서 이것을 사용하고 싶습니다.

누구나 나를 도와 줄 수 있습니까?

는

Answer 1

내가 그냥 사용자 인증을위한 암호를 저장한다고 가정 :) 감사합니다, 그리고 대답은 PHP 함수 password_hash를 사용할 수 있어야합니다, 그래서 당신은(), 명시 적으로는 PHP 솔루션을 요구했다. 이 함수는 최신이며 암호 해싱의 모든 까다로운 부분을 처리합니다.

// Hash a new password for storing in the database. 
// The function automatically generates a cryptographically safe salt. 
$hashToStoreInDb = password_hash($password, PASSWORD_DEFAULT); 

// Check if the hash of the entered login password, matches the stored hash. 
// The salt and the cost factor will be extracted from $existingHashFromDb. 
$isPasswordCorrect = password_verify($password, $existingHashFromDb); 

더 indept 정보에 관심이 있다면

, 내 tutorial에 대한 안전 저장 암호를 살펴있을 수 있습니다.