开发人员的自制密码安全性是对还是错，为什么？

/** Dave's Home-brew Hash */

// user data
$user = '';
$password = '';

// timestamp, random #
$time = date('mdYHis');
$rand = mt_rand().'\n';

// crypt
$crypt = crypt($user.$time.$rand);

// hash
function hash_it($string1, $string2) {
    $pass = md5($string1);
    $nt = substr($pass,0,8);
    $th = substr($pass,8,8);
    $ur = substr($pass,16,8);
    $ps = substr($pass,24,8);

    $hash = 'H'.sha1($string2.$ps.$ur.$nt.$th);
    return $hash
}

$hash = hash_it($password, $crypt);

#1 楼

/** Dave's Home-brew Hash^H^H^H^H^Hkinda stupid algorithm */

// user data
$user = '';
$password = '';

// timestamp, "random" #
$time = date('mdYHis'); // known to attackers - totally pointless
// ^ also, as jdm pointed out in the comments, this changes daily. looks broken!

// different hashes for different days? huh? or is this stored as a salt?
$rand = mt_rand().'\n'; // mt_rand is not secure as a random number generator
// ^ it's even less secure if you only ask for a single 31-bit number. and why the \n?

// crypt is good if configured/salted correctly
// ... except you've used crypt on the username? WTF.
$crypt = crypt($user.$time.$rand); 

// hash
function hash_it($string1, $string2) {
    $pass = md5($string1); // why are we MD5'ing the same pass when crypt is available?
    $nt = substr($pass,0,8); // <--- BAD BAD BAD - why shuffle an MD5 hash?!?!?
    $th = substr($pass,8,8);
    $ur = substr($pass,16,8);
    $ps = substr($pass,24,8); // seriously. I have no idea. why?
    // ^ shuffling brings _zero_ extra security. it makes _zero_ sense to do this.
    // also, what's up with the variable names?

    // and now we SHA1 it with other junk too? wtf?
    $hash = 'H'.sha1($string2.$ps.$ur.$nt.$th); 
    return $hash
}

$hash = hash_it($password, $crypt); // ... please stop. it's hurting my head.

summon_cthulhu();

戴夫，你不是密码学家。阻止它。

这种自制方法无法真正抵抗暴力攻击，并给人一种“复杂”安全性的错误印象。实际上，您要做的仅是sha1(md5(pass) + salt)，它可能会损坏并且过于复杂。您似乎在幻想复杂的代码可以提供更好的安全性，但事实并非如此。无论攻击者是否知道该算法，强大的密码系统都是强大的-这一事实被称为Kerckhoff原理。我意识到重新发明轮子并以自己的方式完成它很有趣，但是您正在编写将要用于业务关键型应用程序的代码，这将必须保护客户凭证。您有责任正确地做到这一点。

坚持尝试和测试过诸如PBKDF2或bcrypt之类的密钥派生算法，这些算法已经过多年的深入分析和审查，受到了众多专业和业余密码学家的审查。 。

如果您想对正确的密码存储进行良好的学习，请查看以下链接：


如何存储盐？
执行任何操作安全专家建议使用bcrypt进行密码存储？
如何安全地存储密码？

#2 楼

公共协议的优点：

可能是由比您更聪明的人编写的
经过了更多的人（也许其中有些人比您更聪明）进行了测试
有更多的人评论（可能有些人比您聪明），经常有数学证明
更多人（可能有些人比您聪明）改善了
目前，成千上万的人中只有一个发现缺陷，很多人开始修复它

公共协议的缺点：

如果确实发现了缺陷，就
将其公开
而不会修复得足够快

，然后攻击者将开始搜索易受攻击的站点/应用程序。但是：

他们可能会首先追赶更重要的目标
当缺陷暴露出来后，您就知道并且可以锁定
并非所有缺陷都是“关键”的（大多数就像“在某些情况下可能发生冲突”或“暴力破解的时间不是1012年，而是106年”）。

默默无闻的安全性被认为是绝对糟糕的。属于自己的发明属于该类别。

#3 楼

如果Dave确实是“您的”开发人员，例如您有权解雇他，那么您有权指导他使用更有据可查的方案，您应该这样做。

在密码学中，需要保留的秘密越少越好。这尤其适用于“硬编码”机密，例如哈希函数本身，一旦包含机密的代码离开您的建筑物，这些机密就不再是机密。这就是为什么开放式密码标准成为好东西如果该方案已经存在了数十年甚至几十年，并且基本算法和各种实现都是众所周知的，但仍然没有人找到进入的方法，那它就是一个很好的方案。

例子，多项式提供了该方案出了什么问题的很好的细分，但是这是所提出的哈希算法的主要失败之处：


MD5被完全破坏了；虽然通过破坏MD5的主要方式并没有使原像攻击变得容易得多（它非常容易受到已知明文强烈冲突的影响；了解消息和摘要，但可以在2 ^ 24时间内产生冲突），但是该算法太快了，无法针对现代分布式破解硬件进行安全保护。永远不要在需要数据安全性的应用程序中使用它。
SHA-1被认为是脆弱的；再说一次，没有很好的向量来进行原像攻击，但是有很强的碰撞攻击（160位散列需要2 ^ 61次），并且散列算法足够快且密钥空间足够小，以至于当前硬件可以进行蛮力攻击强制。

更多的哈希值不一定意味着更好的哈希。哈希是确定性的过程；它们代表理论密码学中的“随机预言”，但是由于它们必须始终在给定相同输入的情况下产生相同的输出，因此它们不能对输入中已经固有的信息加任何熵。

简而言之，就像Dave一样使用多个哈希的秘密组合，即使这种组合是未知的，也不会给蛮力增加大量工作（三个哈希的相对顺序有6种可能性，增加了复杂性尝试用不到2的3的次方来尝试所有可能性，并且一旦攻击者可以反编译您的代码并发现哈希函数的相对顺序，这种额外的复杂性就会消失。

密码本质上是低熵的。最好的“用户可使用”（无垃圾）密码在大约50位熵的情况下最大程度地提高了复杂性，这意味着如果您对所要查找的内容有所了解，则可以在2 ^ 50或更短的时间内破解它们。这使得密码比通常要散列的其他内容（例如证书摘要）更容易破解，需要额外的“工作量证明”来提高其安全性。
该方案未添加任何重要的工作证明；在事物的宏伟方案中，用三个散列代替一个散列，在额外的工作中为方案增加了约1.25位的熵。您只需将密码延长一个字符就可以做的更好。

与上述所有方法相比，BCrypt具有一个非常慢的密钥派生功能或KDF作为其主要优点。 Blowfish是构成BCrypt基础的加密密码，它使用“ SBox”；预定的初始值的较大数组，可以通过密钥和/或IV进行修改，以产生密码的初始状态，通过该状态来馈送明文。在BCrypt中，通过使用较小的密码和盐值并将它们通过“无密钥”密码运行预定的次数，然后将其“预热”到理论上只能通过执行该操作来生成的状态，可使此SBox设置更加复杂使用相同的密码和盐，进行相同数量的设置迭代。然后，将此“预热”密码提供给常量明文以产生哈希值。用CS术语来说，散列形成“工作量证明”；一项难以执行（耗时和/或耗费资源）但易于检查正确性（产生的哈希值与我们已经拥有的哈希值相匹配的计算任务）。

“预定SBox设置的迭代次数”是可配置的；这是BCrypt的真正力量。散列时指定了许多“回合”键设置，对于n回合，执行2 ^ n次键设置迭代。这意味着增加轮数会使散列执行两倍的工作，并且在相同硬件上花费两倍的时间来产生必要的工作证明。因此，BCrypt可以轻松跟上摩尔定律，而摩尔定律一直是以前出现的许多哈希函数的祸根。

BCrypt的主要理论缺点是内存使用率低。尽管计算时间可以成倍增加，但所需的内存量实际上保持不变（随着迭代次数的增加，SBox不会变大，并且不需要保留“中间结果”）。因此，虽然BCrypt阻碍了GPU的纯流水线计算能力，但它仍然容易受到更复杂的“现场可编程门阵列”（基本上是大量的，高度模块化的“软接线”逻辑单元的集合）的破坏。高度分布式计算的最新技术），因为内存不足的限制意味着您可以将更多相对廉价的电路板投入该问题。

较新的算法SCrypt可与FPGA对抗通过以指数方式增加内存需求以及计算散列的计算开销来破解，因此每个FPGA可用的有限内存也很快使它们不可行（分布式破解基本上需要大量的CPU / FSB / RAM组合，实际上已满计算机，钩在一起）。唯一的问题是SCrypt只有2或3年的历史，因此它没有BCrypt（13年）的密码分析谱系。确实，如果您要担心FPGA配备的破解程序会在可行的时间内获取密码（例如，无论如何都无法更改所有密码），那么您会激怒一些非常有能力的人，并且已经暴露出另一个严重的问题。漏洞（允许攻击者首先获取您存储的密码哈希，以便他们可以破解一个“离线”）。

底线，使用BCrypt进行密码哈希处理。该密码器已有13年的历史，基于20年的密码算法，当时还没有发现有助于密码破解者的已知漏洞。它像糖蜜一样慢，并且可以配置为始终保持这种状态，前提是您将它​​与要求用户每90天左右更改一次密码的要求结合在一起，因此新密码会随着更昂贵的配置而不断散列。

#4 楼

公平地说，对于Dave而言，就自制密码安全而言，这是更好的情况之一，因为这只是掩盖了hash = SHA1(salt + MD5'(Password))（实际上不是很多），其中MD5'对MD5哈希的字节顺序进行可逆交换。现在，用户名/时间/随机/加密部分仅用于生成盐，而我们对盐的唯一要求是它们仅需要非常好的唯一性即可；因此，尽管它过于复杂，但实际上没有任何用处。
再次hash = sha1($salt+md5'($password))。重新排列MD5不会增加安全性（swap(00112233445566778899aabbccddeeff)变为ccddeeff8899aabb0011223344556677）交换并不会阻止您之后使用md5 Rainbow表（例如，查看代码并反转交换）。但是，唯一盐的存在使彩虹表变得不可行。
现在至关重要的是，这归结为一个简单的加密哈希函数被应用了两次；这比存储纯文本密码（请参阅纯文本违法者）要好，并且比存储未加盐的哈希（请参阅linkedin泄漏）要好。但是，在廉价的大规模并行GPU时代，这对于现代使用来说太弱了。任何具有某种通用GPU编程经验的人都以某种方式进入了实时服务器（用盐来获取哈希值），可能会看到他的源代码，尝试使用自己的密码作为测试用例，然后可以对任何每个GPU每秒可以尝试数十亿次尝试的特定密码。
因此，如果任何用户正在使用一百万个左右的先前泄露的密码（例如，从Linkedin中）的密码，则攻击者几乎可以立即破解它。如果某个用户的密码是字符集A-Za-z0-9中的随机8个字母；每个GPU平均中断大约需要60个小时（因此，如果您有60个GPU，则需要1个小时）。使用常见的破解技术，利用常见密码的形式可以大大加快其速度。还值得注意的是，由于$password通过128位MD5哈希函数，因此在密码短语中使用超过128位的熵绝对没有任何好处（尽管公平地说，这是一个非常安全的密码；例如10字骰子密码或22个字符的字母数字随机密码。）
真的，您应该使用迭代的加密哈希函数；类似于bcrypt或PBKDF之类的东西，它通过一个较大的常数因子（例如105）使攻击者的暴力破解速度变慢（因此，从60个小时内破解62个字符集的随机8个字符密码（A-Za -z0-9）；使用单个GPU花费600万小时（可能会损坏700年左右），而使用更强大的密码（例如，一个10字符的密码将花费300万年左右）会更好。一百万个GPU需要花费3年的时间。因此，只需进行一点按键强化，就可以将相对较弱的密码（从62个字符集随机抽取8个字符）移出攻击者破解的可能性范围。有关更多信息，请使用简单的按键强化密码，请参阅此答案。
冲突攻击与图像前攻击（或为什么哈希函数的冲突攻击与密码哈希无关）
KeithS的答案虽然给出了很好的建议（使用bcrypt而不是简单的密码哈希函数来哈希您的密码），但最初批评MD5和SHA1的理由不正确（不要使用MD5容易受到冲突攻击）。映像前攻击和碰撞攻击之间有细微的差别，并且评论中的争论过于简洁，因此我在这里详细说明。我强烈建议您阅读维基百科有关图像前攻击的文章。
图像前攻击说，给定以十六进制形式编写的特定128位哈希值：h=ad2baf26a87795b3c8a8366a08b44112，特定的哈希函数H，请找到任何消息m，以便使h=H(m) ;请注意，有N = 2128个不同的不同哈希。现在，如果您的加密哈希函数没有中断，则哈希消息中的每一位都有50％的可能性，即随机消息m为0或1。然后我平均需要生成大约N = 2128个哈希值的哈希值，然后我很幸运地找到任何消息m，使得h=H(m)（此消息可能与最初生成哈希值的输入不同-但这仍然
碰撞攻击说找到我任意两个消息m1和m2，例如H(m1) = H(m2)。请注意，m1，m2（和H(m1)）都可以自由更改。这种情况下的问题要容易得多，因为如果我为M条不同的消息生成M个散列，我不仅将M条消息与一个特定的哈希进行比较（因此有M条发现冲突的机会），现在我得到M *（M- 1）/ 2对哈希，因此大约有M ^ 2发生冲突的机会。因此，在这种情况下，我将需要大致生成sqrt（N）〜264个散列，然后它们中的一个可能在理想的128位哈希上与另一个散列冲突。
让我们看一下两种类型的生日问题。碰撞问题转化为共同的生日“悖论”。一个房间需要多少人，才能让两个人共同过生日，一年中N = 365天。答案很自相矛盾，因为您只需要大约sqrt（N）〜23个人就可以让两个人共享生日（例如，一个房间中有23个人，您就有253对可以配对的人）。 （我确实知道sqrt（365）！= 23：我使用的是近似数学，而不是关注无关紧要的常量因子。请先在房间中使用sqrt（365）〜19人再进行计算，然后再进行P(two share birthday) = 19! * comb(365,19)/365**n = 37.9%，但严格来说不是50％仍然表示其相当可能发生）。请注意碰撞生日问题，一个房间中不能有N + 1 = 366人，并且有可能没有碰撞（忽略leap日）；最多365个人的生日不同，最后一个人发生了碰撞。
图像前问题是一个非常不同的问题，在一个房间中我可能需要多少人之前，很可能有人会特定的生日（例如B = 12月18日）。在这种情况下，大约需要N〜365个人才能实现。例如，房间中有365人，您有一个P(somebody has birthday B) = 1 - (1 - 1/365)^(# people)，因此，对于# people = 365，您有63％的概率某人的生日将是某个固定的日期B。在这种情况下，您可以轻松想象有多少人在一个房间里没有人在某个特定的日期有生日。 （假设您没有在指定的生日那天才邀请人们进入房间；可以邀请的人数没有限制。）
当像MD5 / SHA1这样的哈希函数因碰撞攻击而被破坏时，这意味着您可以以比sqrt（N）〜2numbits / 2的蛮力时间少的工作量来产生碰撞。对于MD5，只需要大约2 ^ 24时间即可产生碰撞；对于SHA1，大约需要2 ^ 61的时间。这意味着对MD5进行碰撞攻击非常容易。但是对SHA1的实际攻击仍然很困难。但是，冲突攻击仅在您不关心要匹配的哈希值时才重要。这些冲突攻击与某些应用程序非常相关，例如对消息进行加密签名以确保消息的完整性，因此请注意在这种情况下使用MD5 / SHA1。但是，当您具有唯一的盐和要匹配的特定哈希来进行身份验证时，冲突攻击就没有关系。

#5 楼

请参阅相关的“安全性Meme”帖子

虽然这看起来很简单，但这些规则仍然适用-设计加密算法并正确/安全地实现它们非常困难。甚至是由专家设计并被数以千计的人挑选出来的，最终还是在其中发现了漏洞。阿德曼，波宁，沙米尔）

#6 楼

尽管我们可以发现Dave算法存在很多缺陷，但它并不是可怕的，因为它不是100％的家庭酿造。他确实使用基于可靠原则的哈希协议（尽管很弱）。另一方面，他采取的步骤增加了开发人员的复杂性，但却无济于事提高他的算法的安全性。

但是我在这里添加另一个答案的原因是提出了一个古老的论点，即默默无闻是有价值的。第一道防线应始终是强大的，广为接受的哈希算法，但即使添加最少量的模糊度作为另一道防线，也没有任何危害。

不应该将那一层晦涩的事物本身视为防御，而只是减少妥协机会的附加因素。由于成功进行攻击通常需要考虑多种因素，因此即使是小的防御措施也可以对降低总体风险产生重大影响。

我无法告诉您多少次我试图破解哈希转储，但我却一无所获，因为有些Dave在某处想到了这种愚蠢的非标准算法无法进行大量的密码分析或侵入Web服务器以获得算法。您不能否认这些愚蠢的算法是一个有效的防御因素。

现在，如果Dave采用了他的愚蠢算法并将其作为一层添加到更强大的算法（如PBKDF2或bcrypt）中，那么他对可靠的安全实践的支持。另外，模糊性不必像Dave的代码那么复杂，您真正需要的只是一点点不同而变得模糊。请记住，这不是防御，只是一层晦涩。

更好地实现模糊性的方法是使用HMAC，连接服务器端盐常数和/或使用大量非标准迭代。这些措施都不能靠自己解决，但它们确实可以解决导致整体风险的特定攻击媒介。

tl：dr;通过隐蔽性实现安全性是不好的，但是可靠的安全性加上合理数量的隐蔽性是有效的策略。

#7 楼

好，解雇戴夫。至少要用一个很大的提示棒打他。开放协议是好的，因为任何人都可以查找并尝试查找漏洞和结构性问题，并实施修补程序。可见性改善了协议。良好的安全性意味着每个人都可以知道系统的工作方式，并且仍然安全。

#8 楼

用合理的理由说服他。不要指责他。

您必须考虑为什么我们对密码进行哈希处理：原因是通过使哈希处理过程花费大量CPU时间来执行保护原始密码。暴力破解是通常恢复密码的方式。

如果攻击者能够窃取您的密码数据库，则他们已经设法访问您的数据库。如果他们可以访问数据库，那么他们也可能也可以访问生成这些密码的代码。在检查了代码之后，由于哈希算法执行的时间太短，他们可以开始对密码进行暴力破解。

众所周知的哈希方法和实践（例如使用PBKDF2进行10,000次迭代）的思想是在当前的硬件上执行需要花费大量时间。

如果有时间，您还可以编写一个强制执行程序，并向他显示可以使用他的算法每秒执行多少攻击与现行标准。

#9 楼

我已经写了几种哈希算法。如果您知道自己在做什么，那没有什么错。在某种程度上，他说得很对，即经过实践检验的算法可能更容易受到攻击。因此，如果您可以创建一个好的算法，那么您就是黄金。唯一的问题是，由于多种原因，他完全糟透了。




// timestamp, random # $time = date('mdYHis');

我什至感觉不需要解释这一点。当他试图创建一个种子化的“随机”数字没有任何意义时，他试图这样做。哈希值每天都会更改。我无法想象这种方法在任何合理的情况下都可以正常工作。 ）的“ his”算法。他的方法只是普通ole MD5哈希的非常细微的派生。这使我想到了：
他正在重新整理他的MD5结果。嗯，为什么呢？作为一项有趣的小活动，请尝试让他解释一下他的推理。我会给您一个提示，以帮助您：无论他的回答是什么-都是错的。改组散列值就像改组一副全空白卡。它没有任何额外的好处。

还有很多问题出在这里，但是这些都是大问题。告诉他回到平常的工作，然后使用bcrypt（或scrypt，这样做实际上会占用大量CPU，甚至可能更安全）

#10 楼

隐秘术比Dryptography更好地受益于Dave的操作保密性。这可能就是Dave直觉的目标。

密码学

每个密码解决方案都受益于最大的暴露范围，因为依靠除私钥以外的秘密可以使操作安全性提高。加密货币消费者要困难得多。密钥是一种易于管理，可移植，可预测，定义明确的安全风险，加密专家已集中精力进行了大量工作，以确保算法中的所有风险均被压缩为仅密钥。

可以使密钥变得难以猜测（高熵），从而需要蛮力或侧通道攻击。由于加密算法的任何其他方面都可以归纳为一类通用的（可能是较弱的）加密算法+一个恒定值，因此不能使算法其他方面的秘密难以言喻。该常数值表示算法结构或混淆中的所有残留不变熵。在自制算法中，该值永远不会特别大或熵，并且在任何非自我修改的计算机程序中，该值固有地是恒定的。攻击者可以获取源并直接删除该（较小的）熵，也可以通过通用算法类来运行密文。例如，美国国家安全局（NSA）会针对外国势力使用的常见算法的未知变体来精确地做到这一点。机密要求攻击者以对该受害者可能唯一的方式自定义搜索；并扩大到可能的藏身处和受害者掌握的藏身方法。

这很简单，例如拥有一个伪造的哈希密码列并在记录用户信息的各个表中隐藏真正的四分之一（64bit）time_t列。
这可能就像在BluRay电影中隐藏可移植Linux仿真一样复杂。一个人或一个组织可以通过隐藏次要语义来受益，其隐藏方式与任何谎言一样。是“我的袜子很无聊，并且不包含钻石”还是“这些是您要寻找的哈希，请忽略该蜜罐或与审计服务器的套接字连接”。
/>
，因此Dave应该使用经过审核的公共高级库（例如BouncyCastle），而不要使用低级的原始加密货币。但应该让黑客自由地浏览服务器生态系统，就像他们正在阅读缺少某些字符的“脑力激荡”程序一样。

假设完整的支持文档都保存在Dave继任者的安全脱机位置中...

#11 楼

我将尝试一种不同的方法来回答这个问题。我不会告诉你什么不好，也不会解释原因。我将逐步详细解释为什么它不好，并向您展示如何打破它，但是我不会对Rainbow Tables太过深入……假设您知道那是什么。

这就是为什么您的开发人员的哈希值不正确的原因：因为它只是引入了一些因素，一旦发现该方法，即使他随机分配改组，这些因素也可能被完全强行使用。

如何？因为如果我可以访问您的服务器，那么我也知道您的开发人员正在使用的用于散列密码的方法，因为我也已经窃取了该代码，因此我可以重新排列所有内容以适合我的小crackpot应用程序。 />比方说，我入侵了您的公司，并获得了对您数据库的访问权限，以便我可以获取这些哈希值。我知道用户何时注册，对吗？我知道他们最后一次更改密码的原因是，除非您是一个完整的新手，否则您应该将该信息记录到数据库中。

$time = date('mdYHis');

此时间戳可能在大约用户注册或更改密码的同时。我们可以知道这一点，因为上次更新应该存储在数据库中。您注册的时间应存储在数据库中。地穴的一部分已被击败。

$rand = mt_rand().'\n';

很酷，一个随机数生成器。您知道，计算机上没有什么是真正随机的。随机数生成器并非真正随机。这是Mersenne Twister。我需要的只是624不同的组合，以找出所有将来的数字。我也从数据库中盗走了您的“盐”，而且我知道您是如何计算的。

因为我知道您的用户注册的日期，所以我知道如何在特定时间为Mersenne Twister例程重新创建正确的数字。我可以写一些破解方法来提取当时可能发生的确切数字。您的食盐不再是随机的。但是你知道吗？没关系我知道您用于该盐的确切格式，无论如何我很可能从您的数据库中获取了它。然后，我可以使用Rainbow Tables在1秒钟内彻底消灭盐，因为仅mt_rand()会产生最多10^10散列，最少10^9，这意味着110亿种可能性，并且由于它们都是数字，所以我知道格式盐，它们将在不到一秒钟的时间内被破解。

所以现在我知道此用户名属于谁了，因为我劫持了您的数据库。我知道他们何时注册，我何时最后一次更改密码以及我的随机号码。我看见你了，戴夫，屋顶上的小偷。我的新卫星链接同时具有红外光谱和X射线光谱。我看到你的心跳。我看你很害怕。

现在$crypt已被击败，让我们看一下function hash_it()。

function hash_it($string1, $string2) {
    $pass = md5($string1);
    $nt = substr($pass,0,8);
    $th = substr($pass,8,8);
    $ur = substr($pass,16,8);
    $ps = substr($pass,24,8);

    $hash = 'H'.sha1($string2.$ps.$ur.$nt.$th);
    return $hash
}

现在让我们看一下一些示例输入：hash_it(Dave, testpassword1);

结果：

$pass = "b7e055c6165da55c3e12c49ae5207455"
$nt = "b7e055c6";
$th = null;
$ur = "3e12c49a";
$ps = "e5207455";

$hash Input：“ H” +“用户名+” RegistrationDate“ +” 1604716014“ +” e5207455“ +” 3e12c49a “ +” b7e055c6“（tldr："HDaveRegistrationDate1604716014e52074553e12c49ab7e055c6"）

$hash = 'H'.sha1("DaveRegistrationDate1604716014e52074553e12c49ab7e055c6);

`$ hash输出：
” 6b347a1521b6b84501806268614abe1e7324c703“;（每次都相同）

这是一种攻击的工作方式：


经过624次观察后，打破梅森·特森（mt_rand()），或者只是彩虹表盐。
从数据库中抓取戴夫的REGISTRATION_DATE或USER_LAST_MODIFIED_DATE

Grab Dave的SHA1哈希
使用以下参数发起暴力攻击（在我们破坏了“安全性”后，它变成了静态sha1哈希）：


"Username" + "RegistrationDate" + YourRandomNumber + DictionaryAttack[]



警告您的客户。

这就是为什么除非您真的知道自己在做什么，否则不应该推出自己的加密技术的故事。想象一下，如果我是一个真正的骗子，而不是一个刚浏览完您的代码的人。