问iOS - Swift中的密码加密

EN

见这个问题。您应该了解散列在客户端的含义：

• Pro:您可以使用更多的回合，从而创建一个更强的哈希。 作为参考，1通至少使用25,000轮PBKDF2-HMAC-SHA512 512.您的用户可能不会使用迪克瓦尔，因此如果可能的话，您需要更高的计数。
• Con:，您将自己锁定在一个特定的算法中&整数。 哈希输出实际上将成为用户的密码。你以后就不能做些调整了。这意味着随着计算能力的增加，随着时间的推移，哈希会变得更弱。 此外，由于哈希允许访问您的网站，因此它应该存储在密钥链中。 使用salt (例如appname + username)可以防止服务器漏洞影响任何其他站点。 正如链接所提到的，您可能仍然希望在服务器上使用“快速”哈希(例如SHA-512)。这限制了只有数据库被破坏时的损坏。 在服务器上，哈希应该在恒定时间内与hash_equals进行比较。password_compat有代码早期版本的PHP。 当使用客户端散列时，解消建议在服务器端使用随机盐。

另一种&更常见的情况是在服务器上执行所有哈希操作。

有关PHP，请参见password_hash、password_verify和password_needs_rehash。

如果您使用的是较早版本的PHP，就会有康帕特。

最佳做法是不要将密码存储在数据库中。

您应该执行单向哈希函数(如SHA )并存储哈希值。当您需要对用户进行身份验证时，散列用户输入的密码并比较哈希值。在散列中使用一个盐分值来进一步提高安全性。