Tairesh 24 сен 2013 в 20:06

Хэширование паролей в PHP 5.5 с использованием нового API

3 мин

79K

Информационная безопасность*PHP*

Из песочницы

+12

Комментарии 14

Megas 24 сен 2013 в 21:19

Кажется об этом уже писали.

Anonym 25 сен 2013 в 01:07

То есть теперь надо не только проверить пароль, но еще и проверить, а не изменился ли алгоритм.
Не совсем понятно, что будет, если изменится PASSWORD_DEFAULT. password_verify($password, $hash) вернет FALSE? А что вернет password_needs_rehash($hash, PASSWORD_DEFAULT)?

EuroElessar 25 сен 2013 в 01:28

Ни разу не писал на PHP, но почему-то кажется, исходя из наличия метода password_get_info(), что в $hash хранится алгоритм, и эти сведения используются в password_verify

PatapSmile 25 сен 2013 в 01:28

password_verify — не зависит от PASSWORD_DEFAULT, так как алгоритм по которому получен хеш вместе с параметрами храниться в самой переменной $hash.

Поэтому если password_verify вернул FALSE, то значит пароль не верный. А если пароль правильный, тогда можно сделать проверку не обновился ли алгоритм password_needs_rehash, и тогда сохранить новый хеш.

Anonym 25 сен 2013 в 01:39

Спасибо за объяснение.

sp3ctr00m 25 сен 2013 в 02:17

Что сложного то нашли в crypt? простая как две копейки

servekon 25 сен 2013 в 02:22

<?php
$hash = md5($password . $salt); // works, but dangerous

А если так:

$hash = md5($password .md5($salt));
$hash = md5(md5($password) .md5($salt));

???

Tairesh 25 сен 2013 в 05:27

Абсолютно то же самое

servekon 25 сен 2013 в 19:30

Специально проверил:

<?php
$password 	= 'vnkG767dfd';
$salt 		= 'vnsiRfdR45';

$hash1 = md5($password . $salt); //43a47c25ddeb356f4f01889a06bb01ff
$hash2 = md5($password .md5($salt));//ac34660393373c58cc33d295c2b8202b
$hash3 = md5(md5($password) .md5($salt));//67ba6ba0ec1fa56c9857ccf75a462ce3

Абсолютно не тоже самое…

Tairesh 25 сен 2013 в 21:13

С точки зрения безопасности — одинаково легко перестроить радужную таблицу по любому предложенному вами алгоритму.

servekon 25 сен 2013 в 23:19

Я читал вашу первую статью. Из нее я не смог понять почему так делать бессмысленно(не зря я вопросы в конце поставил). Вот тут нашел полезный материал, теперь стало все более-менее понятно. Так что, да. Так как я спрашивал — лучше не делать.

ohmytribe 26 сен 2013 в 16:21

1. Слишком быстро.
2. md5 x md5 увеличивает вероятность коллизий.

Kamikaze 25 сен 2013 в 18:06

Использующие phpldapadmin с этой функцией уже немного познакомились, благо связанная с этим проблема легко исправима.

php7 15 окт 2024 в 20:41

Что дает, кроме нагрузки на сервер и времени хеширования/проверки, увеличение cost?

Зарегистрируйтесь на Хабре, чтобы оставить комментарий