CodeIgniter的密码处理论

在你的应用程序中正确处理密码是很是关键的。前阵阅读CI手册，发现CodeIgniter对密码处理的总结对我颇有帮助，把这个清单分享给你们，它告诉你什么该作，什么不应作。

• 毫不要以明文存储密码。永远使用 哈希算法 来处理密码。

• 毫不要使用 Base64 或其余编码方式来存储密码。这和以明文存储密码是同样的，使用哈希 ，而不要使用编码。
  （编码以及加密，都是双向的过程，而密码是保密的，应该只被它的全部者知道， 这个过程必须是单向的。哈希正是用于作这个的，历来没有解哈希这种说法， 可是编码就存在解码，加密就存在解密。）

• 毫不要使用弱哈希或已被破解的哈希算法，像 MD5 或 SHA1。
  （这些算法太老了，并且被证实存在缺陷，它们一开始就并非为了保存密码而设计的。另外，毫不要本身发明算法。）

• 只使用强密码哈希算法，例如 BCrypt。
  （在 PHP 本身的 密码哈希 函数中也是使用它。）

• 毫不要以明文形式显示或发送密码。
  （即便是对密码的全部者也应该这样。若是你须要 "忘记密码" 的功能，能够随机生成一个新的 一次性的（这点很重要）密码，而后把这个密码发送给用户。）

• 毫不要对用户的密码作一些不必的限制。
  （若是你使用除 BCrypt（它有最多 72 字符的限制）以外的其余哈希算法，你应该设置一个相对长一点的密码长度（例如 1024 字符），这样能够缓解 DoS 攻击。可是除此以外，对密码的其余限制诸如密码中只容许使用某些字符，或者密码中不容许包含某些字符，就没有任何意义了。这样作不只不会提升安全性，反而 下降了 安全性，并且真的没有任何理由须要这样作。 只要你对密码进行哈希处理了，那么不管是技术上，仍是在存储上都没有任何限制。）

扩展阅读：[鉴]PHP处理密码的几种方式：http://www.javashuo.com/article/p-zmqgksfm-db.html