Использование SHA1 для проверки электронной почты пользователя - PHP
Поэтому, по существу, вопрос в том, могу ли я использовать хэш SHA1 для отправки электронного письма с подтверждением новому пользователю с небольшим шансом на дублирование хэша?
Я хочу отправить пользователю это электронное письмо: www.example.com/verify.php?hash=[40 digit sha1 hash]
в отличие от отправки им этого emai: www.example.com/verify.php?user=123456&hash=[40 digit sha1 hash]
Я хочу избежать отправки второго пользовательского параметра.
Хэш создается как таковой:
$verifyHash = sha1[$uid.$email.date('r')];
Где $uid уникален, $email уникален, а date('r') является как можно более уникальной с временной отметкой unix.
Как вы думаете, какие шансы на создание повторяющихся хэшей?
2 ответа
Достаточно близко к нулю, чтобы игнорировать.
Тем не менее, вы должны дополнительно добавить некоторую случайность, используя mt_rand. Точное время на вашем сервере легко угадать, а сообщения электронной почты и UID известны вредоносным пользователям.
Все, что меньше 12,8 квадриллионов блоков, а ваши шансы составляют 0,000000000000000000000000000000000000000000000000000000%.
С 12,8 квадриллионными блоками ваши шансы составляют 0,00000000000001110223024625156540423631668090820313%. Чтобы иметь 12,8 квадриллионов блоков, вам необходимо 95 EB с кусками в 8 КБ, 190 EB с кусками в 16 КБ или 290 EB с кусками в 24 КБ.
См. Также: https://pthree.org/2014/03/06/the-reality-of-sha1/
В заключение, да, это довольно безопасно.
При этом убедитесь, что вы сольете свой хэш, иначе их можно легко восстановить. Насколько случайным и безопасным вам нужна эта соль, зависит от вас.
-
0Вы все еще добавили бы параметр? user = 12345 в электронное письмо?
-
1Это зависит от того, как вы делаете поиск в базе данных. Пока идентификатор пользователя и хеш-код положительно связаны в БД, вы можете
SELECT user_id FROM users WHERE verification_hash = :hashи получить идентификатор таким образом (поскольку мы предполагаем, что хеш-код уникален). Наличие в URL двух факторов (id / hash, email / hash и т. Д.) Предотвращает угадывание множества хэшей и авторизацию случайных пользователей. Это нужно ? Возможно нет. Полезно ли включать что-то еще? Вероятно.
Ещё вопросы
- 0Сортировка результатов MySQL по значениям столбцов
- 0Задать недопустимое поле формы / поля ввода для сервера $ asyncValidators
- 1Одна горячая кодировка на уровне персонажа
- 0Создание пакета установщика Windows
- 0PHP состоит из нескольких слов
- 1Композитные ключи на столе с другими свойствами
- 0JQuery Colorbox IE7 проблема с встроенным AJAX загруженным контентом
- 1Обработка нажатия клавиши ВВОД в JavaFX 8 DataPicker
- 0C ++ ошибка Valgrind
- 1Удалить дубликаты в массиве Java [duplicate]
- 0заставить fadeIn и fadeOut работать гладко в jquery
- 0Дата-Время в Qt
- 1Python3.5, Win32gui, Tkinter. Я не могу получить пиксель с экрана
- 1DataOutputStream.writeBytes добавляет ноль байтов
- 1ImportError: нет модуля с именем textract
- 1Какой лучший способ сделать это вычисление панд?
- 1Почему я получаю ошибку значения в моей функции определения местоположения?
- 1Как сбросить анимацию AnimatedVectorDrawable в Android, когда активность возвращается в версию 23?
- 0Подключите локальный хост Mysql из ядра Docker .net
- 0Как изменить функцию, чтобы она передавалась по ссылке для моей переменной y из данных, которые она получает из входного файла?
- 0Загрузка контента после добавления элемента в DOM
- 0У меня ошибка LNK2019: нерешенная внешняя ошибка символа (небольшой код для просмотра)
- 0шаблон underscore.js не принимает jquery-данные ролей и классов
- 0«Неизвестный сервер MySQL» при использовании Flask в Python
- 1У меня проблема с использованием onMarkerClickListeners. Я новичок, и появляется сообщение об ошибке, которое говорит о пропущенном операторе возврата
- 1Как настроить палитру цветов?
- 0Почему драйвер Mongo C ++ дает мне ошибки компиляции?
- 1Установка яркости фильтра родителя без влияния на дочерний элемент
- 0Как придумать хороший дизайн?
- 0Удаленный доступ к серверу MySQL на виртуальной машине
- 1python - замена фрагмента из строки [duplicate]
- 1Возврат ближайшего значения в таблицу поиска и внесение в список диктовок
- 1Обновление пользовательского интерфейса странного поведения из делегата задачи / действия
- 0Транспортир sendKeys возвращает NoSuchElementError
- 1Вход в Google, как правильно обрабатывать ошибку, если пользователю необходимо снова войти в аккаунт
- 1удаление текста контура круговой диаграммы
- 1Как я могу использовать список переменных для создания строки запроса SQL?
- 0Угловой запрос http
- 0Magento, неверные цены в корзине
- 0Событие изменения выбора чекбокс-списка при помощи jquery
- 1перераспределить данные в гауссовом распределении с помощью pd.DataFrame
- 1уменьшить значение translate-x
- 0Не удалось запустить команду создания sql с mysqli_query php
- 1Google Cloud Messaging - не зарегистрирован на Android 9.0 Pie
- 1xterm.js воссоединяется с тем же PWD
- 0jQuery: другие ссылки внутри элемента div
- 1Преобразование части строк информационного кадра из чисел в дату и время, но получили странные числа
- 0$ injector: unpr Неизвестный поставщик
- 0Слияние сортировки по структурам не работает
- 0шаблон angularjs (из ng-repeat) и пользовательская директива для того же вопроса элемента
$verifyHash = sha1[$uid.$email.date('r').mt_rand()];?