Как можно зашифровать пароль для базы данных?

Я нашел ответ Stackoverflow на английском языке, который отвечает на вопрос Безопасный хэш и соль для паролей PHP .

Ответ, получивший наибольшее количество голосов, гласит, что вам не следует хешировать с помощью SHA1, MD5 или SHA256, потому что современные взломщики могут превышать 180 миллиардов хэшей в секунду, поэтому им нетрудно его взломать.

А второй по количеству голосов рекомендует не писать собственный механизм, а использовать функцию PHP password_hash(). Пример password_hash():

$pass = $_POST['password'];    
$passHash = password_hash($pass, PASSWORD_BCRYPT);

Алгоритм BCRYPT создаст строку длиной не более 72 символов, которая каждый раз будет разной при шифровании, поэтому для проверки правильности введенного пароля мы должны использовать функцию password_verify():

password_verify($pass, $passHash)

Лучший вариант (согласно руководству по PHP) — использовать password_hash() для шифрования ключа, а затем извлечь его из базы данных с помощью password_verify() .

Хотя возможность включения вашей собственной $salt включена в функцию password_hash(), рекомендуется не использовать соль и предоставить это PHP, который генерирует ее автоматически и является намного более безопасным, чем любой тип соли, который мы можем включить. самостоятельно, любым способом, который приходит нам в голову. На самом деле, в различных частях руководства по PHP настоятельно рекомендуется НЕ использовать собственную соль для ключей, выгружаемых в эту функцию, поскольку это ослабит ее силу. (На самом деле, в версии 7 PHP этот параметр уже считается устаревшим и будет выдавать ошибку во время выполнения).

Что касается параметра «стоимость», который можно добавить, это дополнительная мера безопасности, но ее необходимо учитывать в зависимости от сервера, на котором используется указанная функция, из-за нагрузки на сервер для создания хэша более надежного ключа. .

Предлагаемый код:

$opciones = [  'cost' => 12, ];

password_hash($tu_propia_clave, PASSWORD_BCRYPT, $opciones);

В целом, стоимость 12 вполне безопасна и создает приемлемую нагрузку на сервер (как правило, в некоторых случаях необходимо будет выполнить различные тесты, чтобы оценить, что «функция занимает менее 100 миллисекунд в интерактивных системах). "-СИК-). Если массив, содержащий указанную стоимость, не указан (он должен быть да или да включен в массив), его значение по умолчанию равно 10.

Пример проверки ключа, полученного из БД, по сравнению с ключом, введенным пользователем, будет примерно таким:

$hash_BD = $objeto_bd->valor_hash_recuperado;

if (password_verify($tu_propia_clave, $hash_BD)) {
    echo '¡La contraseña es válida!';
} else {
    echo 'La contraseña no es válida.'; 
}

Как всегда, если вам нужна дополнительная информация, всегда лучше обратиться к источнику: PHP.NET — функция Password_hash() .

В дополнение к ответу Карлоса Кироги хорошей возможностью является использование динамической соли на основе пароля пользователя. Например:

<?PHP

$user_pass =  'Mi_Pasw0rd';
$salt = md5($user_pass);
$pasword_encriptado = crypt($user_pass, $salt);

echo $pasword_encriptado;

?>

Однако безопасное сохранение пароля в базе данных — не единственное, о чем нужно беспокоиться, поскольку вам нужно покрывать различные слабые места возможных атак. Одна из возможностей — использовать случайно созданные токены безопасности на странице входа для предотвращения атак типа CSRF. Это был бы очень краткий и простой пример, но демонстрирующий идею:

<HTML> <!-- Formulario de Login-->
<input name="token" id="token" type="hidden" value='<?= md5(time()); ?>'>
</HTML>

<?PHP /*Página de inicio de sesión */

/* Si las credenciales de usuario se validan se abre una sesión y */
/* se agrega el token a la variable $_SESSION .*/

$token              =   crypt($_POST['token']);
$_SESSION["token"]  =   $token;

?>

Токен можно хранить в базе данных, в таблице пользователей и сравнивать в файле безопасности, особенность токена уникальна для каждого пользователя и сеанса.

<?PHP /*Página de control */
....
$result = $stm->fetch(PDO::FETCH_ASSOC);
$token= $result['Token'];
if ($_SESSION["token"] != $token ) {

    header("Location: login.php");
    exit();

}   

?>

Таким образом, у вас есть зашифрованный пароль пользователя и динамический пароль, который никто не знает.

Пытаться:

$INSERT INTO usuarios VALUES('usuario',SHA('contraseña'));
$INSERT INTO usuarios VALUES('usuario',MD5('contraseña'));

Взгляните на эту ссылку:

http://www.solingest.com/blog/store-passwords-in-mysql

В чем проблема SHA-2? Возможно, вы имеете в виду, что семья SHA-1уязвима (так и есть) Рекомендуемый минимум SHA256. Но чем он лучше, тем выше безопасность. На самом деле, он считается SHA512очень Saltбезопасным.

тест md5($var);вполне безопасен, подробнее можно прочитать здесь

http://php.net/manual/es/function.md5.php

Мне приходит в голову, что вы можете записать блок нулей или другого символа и зашифровать его с помощью модуля php mcrypt, и когда пользователь вводит пароль, программа просто проверяет, остается ли блок в исходном символе.