我经常听到这样的建议:“使用bcrypt在PHP中存储密码,使用bcrypt规则”。
但是bcrypt是什么?PHP并没有提供任何这样的函数,维基百科上有关于文件加密实用程序的喋喋不休,网络搜索只显示了一些不同语言的Blowfish实现。现在Blowfish也可以通过mcrypt在PHP中使用,但这如何帮助存储密码呢?河豚是一种通用密码,有两种工作方式。如果可以加密,就可以解密。密码需要单向哈希函数。
怎么解释呢?
当前回答
编辑:2013.01.15 -如果你的服务器将支持它,使用martinstoeckli的解决方案代替。
每个人都想把它弄得更复杂。crypt()函数完成了大部分工作。
function blowfishCrypt($password,$cost)
{
$chars='./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
$salt=sprintf('$2y$%02d$',$cost);
//For PHP < PHP 5.3.7 use this instead
// $salt=sprintf('$2a$%02d$',$cost);
//Create a 22 character salt -edit- 2013.01.15 - replaced rand with mt_rand
mt_srand();
for($i=0;$i<22;$i++) $salt.=$chars[mt_rand(0,63)];
return crypt($password,$salt);
}
例子:
$hash=blowfishCrypt('password',10); //This creates the hash
$hash=blowfishCrypt('password',12); //This creates a more secure hash
if(crypt('password',$hash)==$hash){ /*ok*/ } //This checks a password
我知道这应该是显而易见的,但请不要使用“密码”作为你的密码。
其他回答
您可以使用PHP的crypt()函数使用bcrypt创建单向散列,并传入适当的Blowfish salt。整个等式中最重要的是A)算法没有被破坏,B)你正确地保存了每个密码。不要使用应用范围的盐;打开你的整个应用程序,从一组彩虹表攻击。
Crypt函数
你会得到很多信息足够与彩虹表:什么你需要知道的安全密码方案或便携式PHP密码哈希框架。
我们的目标是用一些缓慢的东西来散列密码,这样获取密码数据库的人就会试图用暴力破解密码(检查密码的10毫秒延迟对您来说不重要,对试图用暴力破解密码的人来说很重要)。Bcrypt很慢,可以通过一个参数来选择它有多慢。
PHP中的password_hash()函数是一个内置函数,用于使用不同的算法和选项创建新的密码散列。该函数使用了强哈希算法。
该函数有两个必选参数:$password和$algorithm,以及一个可选参数$options。
$strongPassword = password_hash( $password, $algorithm, $options );
目前password_hash()允许的算法是:
PASSWORD_DEFAULT PASSWORD_BCRYPT PASSWORD_ARGON2I PASSWORD_ARGON2ID
例子:
echo password_hash("abcDEF", PASSWORD_DEFAULT);
答:
$2y$10$KwKceUaG84WInAif5ehdZOkE4kHPWTLp0ZK5a5OU2EbtdwQ9YIcGy
例子:
echo password_hash("abcDEF", PASSWORD_BCRYPT);
答:
$2y$10$SNly5bFzB/R6OVbBMq1bj.yiOZdsk6Mwgqi4BLR2sqdCvMyv/AyL2
要使用BCRYPT,在$options中设置选项cost=12,同时将第一个参数$password更改为一些强密码,如“wgt167yuwby @#1987__”。
例子:
echo password_hash("wgt167yuWBGY@#1987__", PASSWORD_BCRYPT, ['cost' => 12]);
答:
$2y$12$TjSggXiFSidD63E.QP8PJOds2texJfsk/82VaNU8XRZ/niZhzkJ6S
编辑:2013.01.15 -如果你的服务器将支持它,使用martinstoeckli的解决方案代替。
每个人都想把它弄得更复杂。crypt()函数完成了大部分工作。
function blowfishCrypt($password,$cost)
{
$chars='./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
$salt=sprintf('$2y$%02d$',$cost);
//For PHP < PHP 5.3.7 use this instead
// $salt=sprintf('$2a$%02d$',$cost);
//Create a 22 character salt -edit- 2013.01.15 - replaced rand with mt_rand
mt_srand();
for($i=0;$i<22;$i++) $salt.=$chars[mt_rand(0,63)];
return crypt($password,$salt);
}
例子:
$hash=blowfishCrypt('password',10); //This creates the hash
$hash=blowfishCrypt('password',12); //This creates a more secure hash
if(crypt('password',$hash)==$hash){ /*ok*/ } //This checks a password
我知道这应该是显而易见的,但请不要使用“密码”作为你的密码。
当前的想法:散列应该是可用的最慢的,而不是最快的。这抑制了彩虹表攻击。
同样相关,但要注意的是:攻击者永远不应该无限制地访问您的登录屏幕。为了防止这种情况:建立一个IP地址跟踪表,记录每次命中和URI。如果在任何5分钟内,来自同一IP地址的登录尝试超过5次,则阻止并解释。第二种方法是采用两层密码方案,就像银行一样。对第二次传递的失败设置锁定可以提高安全性。
总结:使用耗时的哈希函数降低攻击者的速度。此外,阻止太多访问您的登录,并添加第二个密码层。
