请教一下关于 password_hash 的密码安全问题

@shiny 当有一个可用账号的时候，可以根据社会工程学，把盐给猜出来。。

@SoloCompany 这么看不起 HTTP? 建议你去研究一下 QQ 网页登陆( http://id.qq.com/login/ptlogin.html).
另外前端的加密是用于解决 HTTP 请求中的数据在被别人获取之后的安全性问题的,
你所假设的 替换公钥, 篡改 HTTP 响应包的数据, 这种问题不是 前端 加密所要解决的事情, 这是 HTTPS 的事.
不能把这两者混为一谈.


@iyaozhen @qqmishi 说拦不住重放的,我也建议你去研究一下 QQ 的网页登陆.


QQ 网页上的登陆,在登陆时的流程如下:
在用户输入完账号之后, 会有一个 ajax 请求, 服务器会根据当前账号的登陆环境等数据, 决定是否要用户输入验证码,
在不需要输入验证码的情况下,服务器会自动返回一个验证码以及 salt.


在登陆时,提交的密码为:(注: QQTea 第一个参数为 key, 第二个参数为 要加密的内容)
RSA(QQTea(md5(QQ 密码 + 验证码) , md5(QQ 密码) + salt + 验证码长度 + 验证码))

验证码是一次性的, 如果对请求进行重放, 这个验证码肯定是不对的, 且你没有腾讯的 私钥,你也解不开这个加密后的内容.

QQTEA 的加密 key 是由用户的密码 和验证码构成了, 而这个密码是只有 用户自己和腾讯知道的.
从截获的 HTTP 请求中,你是找不到这个 KEY 的,所以就更谈不上解密了.


另外再重申一下, HTTP 协议下, 前端加密 是为了保证数据传输过程中在被第三方截获之后,不能破解(直接看到你的密码)/重放等行为的.

拿篡改 HTTP 响应来做为否定 前端 加密必要性, 这两者完全都不是一个层次的, 没有什么可比性.

@xqin 反驳我之前先看看我说的最后一句。

@qqmishi 你一边说拦不住,一边又说加 token, 我不知道你想表达什么, 所以就 @你一下.

好了好了大伙儿别吵了，我也了解差不多了就这样吧

@xqin 我写的“拦不住”指的是只进行加密（比如只对密码进行 md5 加密），这种情况下每次加密结果都是一样的，和明文发送唯一的区别只是无法直接得到明文但依然可以重放。（别笑，我们学校至少有四个系统是用的这种加密方式）
所以我后面加了一句服务端先发送 token 再进行加密。
另外，直接上 HTTPS 省时省力，加密的话需要改写前后端的代码。不能说 HTTP 就是做不到安全传输的，但考虑下成本以及趋势，我依然建议上 HTTPS 。

除了随机盐值， password_hash 的另一个意义是实现了加密算法和业务逻辑的分离。
hash 中带了加密算法类型，这样不管用什么算法， password_verify 都能验证。

随着 PHP 版本升级，会淘汰不安全的旧算法更换为新算法，这中间甚至不需要修改代码。

这年头上 https 不是很容易么？ https://letsencrypt.org

@SoloCompany 前端加密为什么没有意义？

@qqmishi 是的, 有条件的都建议上 HTTPS :P
现在的 ISP 太流氓了.

js 本地做的东西都是欺骗自己而已.

password_hash 解决的是密码存储问题， https 解决的是密码传输问题

@qgy18 只嗅探不改包，那这个中间人真是太良心了，如果真的存在有不可篡改，那么因为密钥可以做到一次有效本来就可以防止重放攻击，通过 df 协议交换密钥甚至连非对称加密都不需要


@xqin 你开心就好

你想前端加密，难道后端明文保存密码？
或者后端保存的是和前端同一方式加密的密码？
那样没有意义，破解者直接提交加密后的密码一样玩。

@SoloCompany 一般不会“只嗅探不改包”，而是因为“只能”……这种场景下还是没法否定前端加密的存在价值的

但是话说回来，一次性用 HTTPS 解决问题更好啦

能上 https 最好，但是也不是说上就上啊。。
大站上 https 要考虑的东西太多了，肯定是要逐步迁移的。 http 前端散列虽然可以被以各种方式截取，但也不能说没有用。
腾讯就是个例子，前几年腾讯用的就是 http 前端加动态盐的散列，这几年改成了 RSA ，然后再逐步启用 https 。

楼主这样做貌似是为了防范中间人导致的密码泄露？如果是这样的话，直接 post 明文 跟 js 本地加密一下再 post 给 php 验证 都不能有效的防范中间人。直接 post 明文，中间人攻击的时候会抓到明文密码。 js 本地加密一下再 post 给 php 验证 ，虽然抓不到明文密码，但是能抓到 post 包，直接重放攻击就行了。

你们都忘记了 password_hash 的初衷。
它不是为了解决中间人啊， JS 加密啊什么鬼的。
他只是为了解决彩虹表+对抗 timing attack 而设定。

以前 md5(xxxx)生成了哈希是唯一且固定的。
现在用 password_hash(xxxx)生成的哈希理论上放大了几亿倍可能。
然后黑客要用彩虹表来对抗 password_hash 加密的密码，基本上不可能了，只能靠穷举。

@SoloCompany "只嗅探不改包，那这个中间人真是太良心了"

黑客在一个公共 wifi 下，的确只能嗅探，不能改包啊。大量的密码截取，都是基于海量嗅探包来提取的，又不是真的通过实时修改。

JS 加密在目前 HTTP 网站大大多于 HTTPS 的情况下，还是有存在的意义。就如前端都痛恨 xp, 但国内的 XP 普及率还是要让写前端的同学，兼顾一下，不管内心是否愿意。

@xqin 严重支持！

似乎没人提过这个？ https://en.wikipedia.org/wiki/Secure_Remote_Password_protocol