Tairesh Sep 24 2013 at 20:06

Хэширование паролей в PHP 5.5 с использованием нового API

3 min

77K

Information Security*PHP*

From sandbox

+12

Comments 13

Megas Sep 24 2013 at 21:19

Кажется об этом уже писали.

Anonym Sep 25 2013 at 01:07

То есть теперь надо не только проверить пароль, но еще и проверить, а не изменился ли алгоритм.
Не совсем понятно, что будет, если изменится PASSWORD_DEFAULT. password_verify($password, $hash) вернет FALSE? А что вернет password_needs_rehash($hash, PASSWORD_DEFAULT)?

EuroElessar Sep 25 2013 at 01:28

Ни разу не писал на PHP, но почему-то кажется, исходя из наличия метода password_get_info(), что в $hash хранится алгоритм, и эти сведения используются в password_verify

PatapSmile Sep 25 2013 at 01:28

password_verify — не зависит от PASSWORD_DEFAULT, так как алгоритм по которому получен хеш вместе с параметрами храниться в самой переменной $hash.

Поэтому если password_verify вернул FALSE, то значит пароль не верный. А если пароль правильный, тогда можно сделать проверку не обновился ли алгоритм password_needs_rehash, и тогда сохранить новый хеш.

Anonym Sep 25 2013 at 01:39

Спасибо за объяснение.

sp3ctr00m Sep 25 2013 at 02:17

Что сложного то нашли в crypt? простая как две копейки

servekon Sep 25 2013 at 02:22

<?php
$hash = md5($password . $salt); // works, but dangerous

А если так:

$hash = md5($password .md5($salt));
$hash = md5(md5($password) .md5($salt));

???

-5

Tairesh Sep 25 2013 at 05:27

Абсолютно то же самое

servekon Sep 25 2013 at 19:30

Специально проверил:

<?php
$password 	= 'vnkG767dfd';
$salt 		= 'vnsiRfdR45';

$hash1 = md5($password . $salt); //43a47c25ddeb356f4f01889a06bb01ff
$hash2 = md5($password .md5($salt));//ac34660393373c58cc33d295c2b8202b
$hash3 = md5(md5($password) .md5($salt));//67ba6ba0ec1fa56c9857ccf75a462ce3

Абсолютно не тоже самое…

-4

Tairesh Sep 25 2013 at 21:13

С точки зрения безопасности — одинаково легко перестроить радужную таблицу по любому предложенному вами алгоритму.

servekon Sep 25 2013 at 23:19

Я читал вашу первую статью. Из нее я не смог понять почему так делать бессмысленно(не зря я вопросы в конце поставил). Вот тут нашел полезный материал, теперь стало все более-менее понятно. Так что, да. Так как я спрашивал — лучше не делать.

ohmytribe Sep 26 2013 at 16:21

1. Слишком быстро.
2. md5 x md5 увеличивает вероятность коллизий.

Kamikaze Sep 25 2013 at 18:06

Использующие phpldapadmin с этой функцией уже немного познакомились, благо связанная с этим проблема легко исправима.

Show the best of all time