iOS - Swift中的密码加密
iOS - Swift中的密码加密
提问于 2015-06-06 01:06:51
我需要在Swift中加密密码,并将其发送到我的web服务器以存储在数据库中。有什么最佳做法吗?我见过AESCrypt.encrypt(userPassword, password: API_AUTH_PASSWORD),但我不太确定这是否足够(盐,等等)。此外,在服务器本身上,如何比较散列密码以进行登录身份验证?我正在使用PHP。基本上,我想问的是,Swift中是否有一种普遍接受的加密方法,可以在基于PHP的web服务器上进行散列和密码检查。
回答 2
Stack Overflow用户
回答已采纳
发布于 2015-06-06 03:04:26
见这个问题。您应该了解散列在客户端的含义:
- Pro:您可以使用更多的回合,从而创建一个更强的哈希。 作为参考,1通至少使用25,000轮PBKDF2-HMAC-SHA512 512.您的用户可能不会使用迪克瓦尔,因此如果可能的话,您需要更高的计数。
- Con:,您将自己锁定在一个特定的算法中&整数。
哈希输出实际上将成为用户的密码。你以后就不能做些调整了。这意味着随着计算能力的增加,随着时间的推移,哈希会变得更弱。
此外,由于哈希允许访问您的网站,因此它应该存储在密钥链中。
使用salt (例如
appname + username)可以防止服务器漏洞影响任何其他站点。 正如链接所提到的,您可能仍然希望在服务器上使用“快速”哈希(例如SHA-512)。这限制了只有数据库被破坏时的损坏。 在服务器上,哈希应该在恒定时间内与hash_equals进行比较。password_compat有代码早期版本的PHP。 当使用客户端散列时,解消建议在服务器端使用随机盐。
另一种&更常见的情况是在服务器上执行所有哈希操作。
有关PHP,请参见password_hash、password_verify和password_needs_rehash。
如果您使用的是较早版本的PHP,就会有康帕特。
Stack Overflow用户
发布于 2015-06-06 01:14:46
最佳做法是不要将密码存储在数据库中。
您应该执行单向哈希函数(如SHA )并存储哈希值。当您需要对用户进行身份验证时,散列用户输入的密码并比较哈希值。在散列中使用一个盐分值来进一步提高安全性。
页面原文内容由Stack Overflow提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://stackoverflow.com/questions/30677899
复制相关文章
相似问题
腾讯云开发者
