2
我認爲hash('sha256', $pw)符合FIPS標準,但我確定可以使用該功能的攻擊向量。此外,沒有鹽(所以我將不得不遇到該實施,我寧願不)。是否password_hash/password_verify符合FIPS?是否符合PHP的password_hash FIPS?
A
回答
1
號
FIPS 140-2 does not certify password hashing algorithms.因此,
password_hash不能符合FIPS,因爲FIPS根本就不適用於它。據我所知,
hash()(它是PHP內核的一部分)所使用的哈希實現未經FIPS認證。如果您特別需要符合FIPS的實施,並且已安裝符合FIPS的OpenSSL庫,則可以使用openssl_digest()作爲替代方案。 (但是,請記住,即使使用鹽,這也不是一種安全的存儲密碼的方法)。
相關問題
- 1. 是SqlCipher for iOS符合FIPS
- 2. 是二郎神19.xx是符合FIPS?
- 3. PHP中的password_hash()
- 4. 符合FIPS標準的CWE-326 AES256
- 5. WinXP上符合FIPS標準的HashAlgorithm?
- 6. PHP的password_hash行爲()
- 7. Double password_hash php
- 8. 是否可以在Perl中創建符合FIPS 140-2的服務器?
- 9. 使ASP.NET Web應用程序符合FIPS?
- 10. 哪個.NET SHA1類符合FIPS?
- 11. 如何使Weblogic 11gR2(10.3.3)符合FIPS-140
- 12. CRYPTOPP中符合FIPS 140-2的是什麼?
- 13. 符合FIPS 140標準的應用程序是什麼意思?
- 14. PHP的password_hash()向後兼容?
- 15. TripleDESCryptoServiceProvider FIPS 140-2合規性
- 16. PHP - ldap_add userPassword crypt和password_hash
- 17. PHP password_hash每次都改變
- 18. PHP登錄使用password_hash
- 19. php password_hash相當於livecode
- 20. WinXP中符合FIPS標準的獨立存儲?
- 21. 符合FIPS 140-2標準的隨機數生成器 - Java
- 22. 使用PHP的password_hash純-ftpd的
- 23. 如何使用php的password_hash()方法..?
- 24. 是Cassandra FIPS 140-2認證
- 25. 哪些JCE提供商符合FIPS 140-2?
- 26. 是否符合Apache Tomcat PCI?
- 27. Bluemix HIPAA是否符合?
- 28. 是否符合Apache DBCP2 JCA?
- 29. 是否符合Chromium HTML5?
- 30. 是否有FIPS兼容的RADIUS .NET解決方案?
password_hash有一個「內置」鹽。如果它只是它使用的特定散列算法的問題,則可以決定。 – 2016-11-16 21:28:34
http://security.stackexchange.com/questions/98214/why-should-i-choose-sha-such-as-sha-512-instead-of-bcrypt-or-pbkdf2-for-fips –