php - ¿Debería cifrar las direcciones de correo electrónico?

Question

Cuando los usuarios se registren, ¿debo almacenar sus correos electrónicos en el archivo base tal como están o usarlos como hash? Quiero ser capaz de descifrarlo más tarde, entonces ¿debería usar md5?

gracias!

Answer 1

No, md5() - es one-way hash function. No puedes descifrar su valor. Por lo general, se usa para contraseñas que no necesitan ser descifradas. En su lugar se comparan los hashes como:

$salt = "adding some secret to increasse security"; 
if (md5($user_password . $salt) == $user_password_hash_from_db) { 
    ## password is ok 
} 

Si usted quiere ser capaz de descifrar su valor, a continuación, utilizar la función crypt PHP en su lugar. Pero puede requerir la instalación de módulos adicionales.

De cualquier forma, no veo ningún motivo práctico para cifrar el correo electrónico.

Answer 2

No es común cifrar las direcciones de correo electrónico. Si alguien realmente quiere mantener su correo electrónico privado, no lo daría en primer lugar en su sitio :)

Answer 3

Cuando usa md5 no podrá descifrarlo. md5 es una función one-way -hash.

Answer 4

md5 no es un método de encriptación, es un hash de una dirección. No hay ninguna razón para cifrar las direcciones de correo electrónico en la base de datos. Los dejaría como están.

Answer 5

MD5 es un hash, que hace que sea casi imposible recuperar el valor original. Debería usar un cifrado en lugar de un hash si desea recuperar el correo electrónico.

Answer 6

Si intenta descifrarlos más tarde, MD5 no será una opción, ya que solo hash cadenas, perderá los datos originales.

Le sugiero que intente algunas de las funciones de cifrado de PHP incorporadas para eso.

Answer 7

Las otras respuestas lo dicen todo.

Sin embargo, usted debe siempre cifrar hash de contraseñas con al menos md5() y una sal, como se señaló en la respuesta de Iván.

Answer 8

Acepto que los correos electrónicos son un problema de seguridad de la información (menor), ya que se convierte en información personal que usted ha lanzado al mundo si alguien tiene acceso a su base de datos, pero usted querrá un cifrado bidireccional/método de descifrado para poder retirar los correos electrónicos, como ha mencionado Ivan.

Solo tenga en cuenta que el hashing MD5 básico ya no es un hash seguro.

como Wikipedia dice de muchas maneras diferentes, ya no es segura (http://en.wikipedia.org/wiki/MD5):

US-CERT del Departamento de de Seguridad Nacional de Estados Unidos dijo MD5 "debe ser considerado criptográficamente roto e inadecuado para su posterior use, "[7] y la mayoría de las aplicaciones del gobierno de EE. UU. deberán pasar a la familia de funciones hash SHA-2 para 2010.[8]

Creo que uno de los principales problemas es que hay tablas arcoiris de hash md5 en estos días, por lo que desnudo md5 es muy susceptible a la fuerza bruta.

Considérelo una herramienta útil para pequeños conjuntos de datos obstruidos e higienizados, pero ya no es un hash realmente seguro. Puede haber aros especiales por los que pueda pasar tanto como usar una sal como realizar mh5 hashings anidados para hacerlo más seguro, aunque no soy un criptógrafo. Es posible que desee comprobar otros hilos SO como this uno para buenas soluciones de encriptación general.