背景:
我想在我的小网站上添加一个登录名,这是一个在线 php 应用程序,我想构建它以便将来能够承受更多的用户事件。
在进一步研究实现 LightOpenID 之前,我想添加一个普通登录。我学习的书名为 Head First PHP & MySQL (2008),本章的最后代码使用 SHA('$user_password') 作为 mysql 查询的一部分。
因为我对 Jeff Atwood 的著作感兴趣,所以我很清楚 bcrypt 和 scrypt。但是由于没有 php 实现 scrypt 并且没有专用服务器来运行它,我决定至少现在考虑实现 bcrypt。
但是我并不完全天真,我知道我应该注意不要过度扩展我非常简陋的托管资源。 PHP 应用程序本身应该始终排在第一位,然后再考虑其他任何资源。
Andrew Moore's method看起来不错(虽然我必须看看如何在我的主机使用的 php 5.2.17 上实现它)并且它带有硬件速度的提示:
You should select a number of rounds that results in 200-250 ms of work. Part of the reason why bcrypt is secure is that it is slow. You must ensure to have a number of rounds that keeps that characteristic. – Andrew Moore
另一位用户表示,对他来说,运行 microtime() 会为 Bcrypt(9) 提供 0.314,因此接近最佳。
问题:
鉴于我只有非常不起眼的资源可供使用,我想充分利用它们,将大部分资源留给 php 应用程序本身,我还是最好使用 Bcrypt(4) 而不是某些东西还有吗?
Bcrypt(4) 几乎立即返回 true,但它是否仍然保持 Moore 所说的特征?(这会是关于 RAM 的部分使 GPU 暴力破解变得更加困难吗?)或者 SHA512 或其他 此时实际上速度一样快但更安全吗?
我希望 Bcrypt(4) 在这种情况下获胜,但我他妈的知道吗? :p
最佳答案
安全始终与您要保护的内容有关。
如果您更关心您的资源而不是您的安全,那么 bcrypt(2) 已经是多余的了。没有黑客会尝试为普通应用程序破解它,拥有更容易的目标网站,如 LinkedIn 和许多其他网站,这些网站只使用 sha 家族的功能,一次迭代,未加盐。他们会去寻找“唾手可得的果实”。或者他们可能会继续尝试破解您的应用程序,只是不在密码加密部分。
作为密码哈希算法 [1],SHA-512 并不比 SHA-1 安全多少,它并不是为此目的而设计的。尽管它们仍然可以用作创建安全加密算法的原语,但那不是一个人应该做的事情。要被认为是安全的,加密算法必须公开以供同行评审,并且必须通过时间的考验。显然,必须针对您将要使用它们的用途进行设计。 MD5、SHA-X 等是加密算法,但不是为存储密码而设计的。
只需向您的 bcrypt 添加或删除回合。在这种情况下,我会使用 1 或 2。还要记住 1 轮 != 1 次迭代。它们呈指数增长。如果您了解 bcrypt 的工作原理,您会发现它不仅仅是迭代。例如,您提到“每个密码的唯一盐”。 Bcrypt 已经有了。
[1] 对于其他事情显然更安全
关于php - Bcrypt(4)(=4 次迭代)与 SHA512 或每个密码具有唯一盐分的不同内容?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/11704200/
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
我正在尝试在Ruby中复制Convert.ToBase64String()行为。这是我的C#代码:varsha1=newSHA1CryptoServiceProvider();varpasswordBytes=Encoding.UTF8.GetBytes("password");varpasswordHash=sha1.ComputeHash(passwordBytes);returnConvert.ToBase64String(passwordHash);//returns"W6ph5Mm5Pz8GgiULbPgzG37mj9g="当我在Ruby中尝试同样的事情时,我得到了相同sha
我正在使用Rails3.1并在一个论坛上工作。我有一个名为Topic的模型,每个模型都有许多Post。当用户创建新主题时,他们也应该创建第一个Post。但是,我不确定如何以相同的形式执行此操作。这是我的代码:classTopic:destroyaccepts_nested_attributes_for:postsvalidates_presence_of:titleendclassPost...但这似乎不起作用。有什么想法吗?谢谢! 最佳答案 @Pablo的回答似乎有你需要的一切。但更具体地说...首先改变你View中的这一行对此#
我基本上来自Java背景并且努力理解Ruby中的模运算。(5%3)(-5%3)(5%-3)(-5%-3)Java中的上述操作产生,2个-22个-2但在Ruby中,相同的表达式会产生21个-1-2.Ruby在逻辑上有多擅长这个?模块操作在Ruby中是如何实现的?如果将同一个操作定义为一个web服务,两个服务如何匹配逻辑。 最佳答案 在Java中,模运算的结果与被除数的符号相同。在Ruby中,它与除数的符号相同。remainder()在Ruby中与被除数的符号相同。您可能还想引用modulooperation.
我从用户Hirolau那里找到了这段代码:defsum_to_n?(a,n)a.combination(2).find{|x,y|x+y==n}enda=[1,2,3,4,5]sum_to_n?(a,9)#=>[4,5]sum_to_n?(a,11)#=>nil我如何知道何时可以将两个参数发送到预定义方法(如find)?我不清楚,因为有时它不起作用。这是重新定义的东西吗? 最佳答案 如果您查看Enumerable#find的文档,您会发现它只接受一个block参数。您可以将它发送两次的原因是因为Ruby可以方便地让您根据它的“并行赋
RSpec似乎按顺序匹配方法接收的消息。我不确定如何使以下代码工作:allow(a).toreceive(:f)expect(a).toreceive(:f).with(2)a.f(1)a.f(2)a.f(3)我问的原因是a.f的一些调用是由我的代码的上层控制的,所以我不能对这些方法调用添加期望。 最佳答案 RSpecspy是测试这种情况的一种方式。要监视一个方法,用allowstub,除了方法名称之外没有任何约束,调用该方法,然后expect确切的方法调用。例如:allow(a).toreceive(:f)a.f(2)a.f(1)
我有一个模块stat存在于目录结构中:lib/stat_creator/stat/在lib/stat_creator/stat.rb中,我在lib/stat_creator/stat/目录中有我需要的文件,以及:moduleStatCreatormoduleStatendend当我使用该模块时,我将这些类称为StatCreator::Stat::Foo.new现在我想要一个存在于应用程序中的根Stat类。我在app/models中制作了我的Stat类,并在routes.rb中进行了设置。但是,如果我转到Rails控制台并尝试在应用程序/模型中使用Stat类,例如:Stat.by_use
我正在尝试按Rails相关模型中的字段进行排序。我研究的所有解决方案都没有解决如果相关模型被另一个参数过滤?元素模型classItem相关模型:classPriority我正在使用where子句检索项目:@items=Item.where('company_id=?andapproved=?',@company.id,true).all我需要按相关表格中的“位置”列进行排序。问题在于,在优先级模型中,一个项目可能会被多家公司列出。因此,这些职位取决于他们拥有的company_id。当我显示项目时,它是针对一个公司的,按公司内的职位排序。完成此任务的正确方法是什么?感谢您的帮助。PS-我
A/ctohttp://wiki.nginx.org/CoreModule#usermaster进程曾经以root用户运行,是否可以以不同的用户运行nginxmaster进程? 最佳答案 只需以非root身份运行init脚本(即/etc/init.d/nginxstart),就可以用不同的用户运行nginxmaster进程。如果这真的是你想要做的,你将需要确保日志和pid目录(通常是/var/log/nginx&/var/run/nginx.pid)对该用户是可写的,并且您所有的listen调用都是针对大于1024的端口(因为绑定(
有没有办法在Rails中为确认字段自定义消息?例如在设计中我必须输入密码和password_confirmation并且错误消息是:Passwordconfirmationdoesn'tmatchPassword我可以更改事件记录语言环境消息(“不匹配”),但它会在该语言环境消息的开头和结尾输出密码确认和密码,所以我得到如下内容:"PasswordconfirmationmustmatchPassword"有没有办法将其更改为不同的字符串?PasswordconfirmationandPasswordmustmatch.编辑另一件事是拥有完全自定义的消息,例如:'Setpassword
