使用 CryptoJS 散列密码的安全性,然后使用 php password_hash()
Security on hashing passwords with CryptoJS and then use php password_hash()
所以我有了自己的小项目,我有一个登录名供我的朋友登录和 post 新闻并更新另一件事。本站绝不会保存任何个人信息,仅供本人学习使用。
所以我的问题是:
我是否需要创建一个自签名证书并将其添加到我的 Web 主机,或者为此付费,或者我可以只使用 CryptoJS 创建一个哈希,然后在服务器端使用 php 的 password_hash() 在将其保存到数据库之前?
你说的是两件不同的事情。首先是 SSL 和网络加密,其次是数据库中的密码散列。为了安全起见,您应该同时使用 SSL 和密码散列。如果您不想为签名证书付费,您可以创建自己的未由 CA 签名的证书并将其提供给您的朋友(以安全方式),他们应该将其包含在浏览器中,或者他们应该在每次连接到站点时检查证书指纹。任何没有此证书或指纹的人都不会知道有 MITM,浏览器会抱怨它。
所以我有了自己的小项目,我有一个登录名供我的朋友登录和 post 新闻并更新另一件事。本站绝不会保存任何个人信息,仅供本人学习使用。
所以我的问题是: 我是否需要创建一个自签名证书并将其添加到我的 Web 主机,或者为此付费,或者我可以只使用 CryptoJS 创建一个哈希,然后在服务器端使用 php 的 password_hash() 在将其保存到数据库之前?
你说的是两件不同的事情。首先是 SSL 和网络加密,其次是数据库中的密码散列。为了安全起见,您应该同时使用 SSL 和密码散列。如果您不想为签名证书付费,您可以创建自己的未由 CA 签名的证书并将其提供给您的朋友(以安全方式),他们应该将其包含在浏览器中,或者他们应该在每次连接到站点时检查证书指纹。任何没有此证书或指纹的人都不会知道有 MITM,浏览器会抱怨它。