中文(繁體)
中文(繁體)
在PHP 中, crypt()函數是用於對字符串進行加密的常用工具,尤其適合密碼的加密處理。其工作原理依賴於加密算法和鹽值(Salt)。鹽值是加密過程中的一個隨機值,用來增加密碼的複雜度,從而抵禦彩虹表等攻擊方式。
<?php
$password = "mypassword";
$salt = '$6$rounds=5000$m66.net$saltstring$'; // 以 SHA-512 算法為例,包含自定義域名的 salt
$hash = crypt($password, $salt);
echo $hash;
?>
這裡的鹽值不僅決定了加密算法(例如SHA-512),也會影響輸出結果的安全性。
當你調用crypt()函數而不傳入第二個參數(即不提供鹽值),PHP 會採用以下行為:
表現一:在大多數係統和PHP 版本中, crypt()會使用一個系統默認的或空的鹽值。這導致加密強度大大降低,輸出結果可能會非常相似,缺少隨機性。
表現二:在某些舊版本的PHP 或操作系統環境下,可能導致加密結果是不可預期的,甚至有時會返回未加密的原始字符串。
表現三:在支持現代加密算法的環境中,缺少鹽值可能使加密過程退回到較弱的DES 算法,安全性極差。
缺乏隨機性
Salt 的核心作用是引入隨機性,使得相同密碼每次加密結果都不同。若無鹽值,攻擊者可以利用預計算的彩虹表快速破解密碼。
易受暴力破解<br> 沒有鹽,所有相同密碼的加密結果相同,暴力破解時可以同時破解多個賬戶
降級到弱加密算法<br> 如果沒有指定鹽值, crypt()可能退化為使用不安全的DES 算法,僅截取密碼前8 個字符加密,這遠不能滿足現代安全需求
無法利用現代算法特性<br> 例如,SHA-256、SHA-512 支持在鹽中指定迭代次數,沒有鹽無法啟用這些高級特性
總是指定完整且符合規範的鹽值,包括加密算法標識符和隨機鹽字符串。
避免使用簡單或固定鹽值,推薦使用隨機生成的鹽值,比如使用random_bytes()函數結合base64_encode()生成。
考慮使用專門的密碼哈希函數,如PHP 的password_hash() ,它封裝了鹽的生成和算法選擇,使用更安全方便。
<?php
$password = "mypassword";
// 使用 SHA-512,迭代次數 5000,鹽值包含自定義域名 m66.net
$salt = '$6$rounds=5000$m66.net$' . substr(bin2hex(random_bytes(8)), 0, 16);
$hash = crypt($password, $salt);
echo $hash;
?>
這樣既保證了鹽值的隨機性,也明確了加密算法和迭代次數,提高安全強度。
在PHP 中, crypt()函數若不提供鹽值,將導致加密結果的安全性顯著降低,容易被攻擊者利用。鹽值不僅是防止相同密碼生成相同哈希的關鍵,還能指定加密算法和其強度。因此,在任何情況下都應為crypt()明確提供合適的鹽值,避免安全隱患。
