我经常听到这样的建议:“使用bcrypt在PHP中存储密码,使用bcrypt规则”。

但是bcrypt是什么?PHP并没有提供任何这样的函数,维基百科上有关于文件加密实用程序的喋喋不休,网络搜索只显示了一些不同语言的Blowfish实现。现在Blowfish也可以通过mcrypt在PHP中使用,但这如何帮助存储密码呢?河豚是一种通用密码,有两种工作方式。如果可以加密,就可以解密。密码需要单向哈希函数。

怎么解释呢?


当前回答

PHP 5.5版将内置对BCrypt的支持,函数password_hash()和password_verify()。实际上,这些只是函数crypt()的包装,并将使其更容易正确使用。它负责生成安全的随机盐,并提供良好的默认值。

使用这个函数最简单的方法是:

$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

这段代码将使用BCrypt(算法2y)散列密码,从操作系统随机源生成一个随机盐,并使用默认的成本参数(目前是10)。第二行检查用户输入的密码是否与已存储的散列值匹配。

如果你想改变cost参数,你可以这样做,将cost参数增加1,将计算哈希值所需的时间增加一倍:

$hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 11));

与“cost”参数相反,最好省略“salt”参数,因为该函数已经尽力创建加密安全的盐。

对于PHP 5.3.7及更高版本,存在一个兼容性包,来自创建password_hash()函数的同一作者。对于5.3.7之前的PHP版本,不支持带有2y的crypt(),即unicode安全的BCrypt算法。可以将其替换为2a,这是早期PHP版本的最佳替代方案。

其他回答

您可以使用PHP的crypt()函数使用bcrypt创建单向散列,并传入适当的Blowfish salt。整个等式中最重要的是A)算法没有被破坏,B)你正确地保存了每个密码。不要使用应用范围的盐;打开你的整个应用程序,从一组彩虹表攻击。

Crypt函数

PHP 5.5版将内置对BCrypt的支持,函数password_hash()和password_verify()。实际上,这些只是函数crypt()的包装,并将使其更容易正确使用。它负责生成安全的随机盐,并提供良好的默认值。

使用这个函数最简单的方法是:

$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

这段代码将使用BCrypt(算法2y)散列密码,从操作系统随机源生成一个随机盐,并使用默认的成本参数(目前是10)。第二行检查用户输入的密码是否与已存储的散列值匹配。

如果你想改变cost参数,你可以这样做,将cost参数增加1,将计算哈希值所需的时间增加一倍:

$hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 11));

与“cost”参数相反,最好省略“salt”参数,因为该函数已经尽力创建加密安全的盐。

对于PHP 5.3.7及更高版本,存在一个兼容性包,来自创建password_hash()函数的同一作者。对于5.3.7之前的PHP版本,不支持带有2y的crypt(),即unicode安全的BCrypt算法。可以将其替换为2a,这是早期PHP版本的最佳替代方案。

PHP中的password_hash()函数是一个内置函数,用于使用不同的算法和选项创建新的密码散列。该函数使用了强哈希算法。

该函数有两个必选参数:$password和$algorithm,以及一个可选参数$options。

$strongPassword = password_hash( $password, $algorithm, $options );

目前password_hash()允许的算法是:

PASSWORD_DEFAULT PASSWORD_BCRYPT PASSWORD_ARGON2I PASSWORD_ARGON2ID

例子:

echo password_hash("abcDEF", PASSWORD_DEFAULT);

答:

$2y$10$KwKceUaG84WInAif5ehdZOkE4kHPWTLp0ZK5a5OU2EbtdwQ9YIcGy

例子:

echo password_hash("abcDEF", PASSWORD_BCRYPT);

答:

$2y$10$SNly5bFzB/R6OVbBMq1bj.yiOZdsk6Mwgqi4BLR2sqdCvMyv/AyL2

要使用BCRYPT,在$options中设置选项cost=12,同时将第一个参数$password更改为一些强密码,如“wgt167yuwby @#1987__”。

例子:

echo password_hash("wgt167yuWBGY@#1987__", PASSWORD_BCRYPT, ['cost' => 12]);

答:

$2y$12$TjSggXiFSidD63E.QP8PJOds2texJfsk/82VaNU8XRZ/niZhzkJ6S

当前的想法:散列应该是可用的最慢的,而不是最快的。这抑制了彩虹表攻击。

同样相关,但要注意的是:攻击者永远不应该无限制地访问您的登录屏幕。为了防止这种情况:建立一个IP地址跟踪表,记录每次命中和URI。如果在任何5分钟内,来自同一IP地址的登录尝试超过5次,则阻止并解释。第二种方法是采用两层密码方案,就像银行一样。对第二次传递的失败设置锁定可以提高安全性。

总结:使用耗时的哈希函数降低攻击者的速度。此外,阻止太多访问您的登录,并添加第二个密码层。

OAuth 2密码:

$bcrypt = new \Zend\Crypt\Password\Bcrypt;
$bcrypt->create("youpasswordhere", 10)