MD5 là cách hay để tạo mã xác minh tài khoản

Question

Khi người dùng đăng ký tài khoản họ nhận được email có mã xác minh mà họ có thể nhấp để xác minh tài khoản của họ.

Đây là cách tôi tạo mã xác minh.

md5(rand(0,1000) 

Có sử dụng phương pháp bên dưới một lựa chọn không tốt? Nó tạo ra một số ngẫu nhiên từ 0-1000. Vì chỉ có 1000 tùy chọn, và chỉ có một số kẻ tấn công MD5 mới biết được, nên chỉ có 1000 người dùng thử nghiệm để xác minh tài khoản mà không thực sự thuộc về họ

Answer 1

Chỉ cần gieo hạt giống với kẻ tấn công không biết:

md5(rand(0,1000).'helloworld234'); 

không có giới hạn như thế nào crasy bạn có thể đi

md5(md5(time().'helloguys'.rand(0,9999))); 

Way quá nhiều nhưng bạn có được ý tưởng.

Answer 2

Chủ đề này How to generate a verification code/number? có một số suy nghĩ tốt về vấn đề này. Phát ban, băm đảo ngược, số kiểm tra ... nhiều tùy chọn tùy theo nhu cầu của bạn.

Answer 3

rand (1,1000) là 10 bit entropy. MD5ing nó không thêm gì cả. Trung bình sẽ mất 500 lần để kẻ tấn công xác minh tài khoản. Không giới hạn tốc độ sẽ giúp bạn, vì những kẻ tấn công có kỹ năng sẽ thuê hoặc đã sở hữu một botnet sẽ được sử dụng để xác thực tài khoản.

Phát an toàn và có 128 bit entropy trong liên kết xác minh của bạn. Trong PHP openssl_random_pseudo_bytes(16, true) là cách di động để nhận các byte ngẫu nhiên mã hóa mạnh mẽ, nhưng nếu bạn lưu trữ dưới một số bản phân phối Linux hoặc một trong BSD OS, đọc/dev/urandom cũng là một lựa chọn chấp nhận được.

Ngoài ra đặt câu hỏi về sự khôn ngoan của việc xác minh tài khoản, nhiều người sử dụng email không dùng một lần chính xác cho điều đó (và không có danh sách đen của bạn sẽ không bao giờ được cập nhật).