我经常听到这样的建议:“使用bcrypt在PHP中存储密码,使用bcrypt规则”。
但是bcrypt是什么?PHP并没有提供任何这样的函数,维基百科上有关于文件加密实用程序的喋喋不休,网络搜索只显示了一些不同语言的Blowfish实现。现在Blowfish也可以通过mcrypt在PHP中使用,但这如何帮助存储密码呢?河豚是一种通用密码,有两种工作方式。如果可以加密,就可以解密。密码需要单向哈希函数。
怎么解释呢?
当前回答
PHP 5.5版将内置对BCrypt的支持,函数password_hash()和password_verify()。实际上,这些只是函数crypt()的包装,并将使其更容易正确使用。它负责生成安全的随机盐,并提供良好的默认值。
使用这个函数最简单的方法是:
$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);
这段代码将使用BCrypt(算法2y)散列密码,从操作系统随机源生成一个随机盐,并使用默认的成本参数(目前是10)。第二行检查用户输入的密码是否与已存储的散列值匹配。
如果你想改变cost参数,你可以这样做,将cost参数增加1,将计算哈希值所需的时间增加一倍:
$hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 11));
与“cost”参数相反,最好省略“salt”参数,因为该函数已经尽力创建加密安全的盐。
对于PHP 5.3.7及更高版本,存在一个兼容性包,来自创建password_hash()函数的同一作者。对于5.3.7之前的PHP版本,不支持带有2y的crypt(),即unicode安全的BCrypt算法。可以将其替换为2a,这是早期PHP版本的最佳替代方案。
其他回答
您可以使用PHP的crypt()函数使用bcrypt创建单向散列,并传入适当的Blowfish salt。整个等式中最重要的是A)算法没有被破坏,B)你正确地保存了每个密码。不要使用应用范围的盐;打开你的整个应用程序,从一组彩虹表攻击。
Crypt函数
PHP 5.5版将内置对BCrypt的支持,函数password_hash()和password_verify()。实际上,这些只是函数crypt()的包装,并将使其更容易正确使用。它负责生成安全的随机盐,并提供良好的默认值。
使用这个函数最简单的方法是:
$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);
这段代码将使用BCrypt(算法2y)散列密码,从操作系统随机源生成一个随机盐,并使用默认的成本参数(目前是10)。第二行检查用户输入的密码是否与已存储的散列值匹配。
如果你想改变cost参数,你可以这样做,将cost参数增加1,将计算哈希值所需的时间增加一倍:
$hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 11));
与“cost”参数相反,最好省略“salt”参数,因为该函数已经尽力创建加密安全的盐。
对于PHP 5.3.7及更高版本,存在一个兼容性包,来自创建password_hash()函数的同一作者。对于5.3.7之前的PHP版本,不支持带有2y的crypt(),即unicode安全的BCrypt算法。可以将其替换为2a,这是早期PHP版本的最佳替代方案。
PHP中的password_hash()函数是一个内置函数,用于使用不同的算法和选项创建新的密码散列。该函数使用了强哈希算法。
该函数有两个必选参数:$password和$algorithm,以及一个可选参数$options。
$strongPassword = password_hash( $password, $algorithm, $options );
目前password_hash()允许的算法是:
PASSWORD_DEFAULT PASSWORD_BCRYPT PASSWORD_ARGON2I PASSWORD_ARGON2ID
例子:
echo password_hash("abcDEF", PASSWORD_DEFAULT);
答:
$2y$10$KwKceUaG84WInAif5ehdZOkE4kHPWTLp0ZK5a5OU2EbtdwQ9YIcGy
例子:
echo password_hash("abcDEF", PASSWORD_BCRYPT);
答:
$2y$10$SNly5bFzB/R6OVbBMq1bj.yiOZdsk6Mwgqi4BLR2sqdCvMyv/AyL2
要使用BCRYPT,在$options中设置选项cost=12,同时将第一个参数$password更改为一些强密码,如“wgt167yuwby @#1987__”。
例子:
echo password_hash("wgt167yuWBGY@#1987__", PASSWORD_BCRYPT, ['cost' => 12]);
答:
$2y$12$TjSggXiFSidD63E.QP8PJOds2texJfsk/82VaNU8XRZ/niZhzkJ6S
当前的想法:散列应该是可用的最慢的,而不是最快的。这抑制了彩虹表攻击。
同样相关,但要注意的是:攻击者永远不应该无限制地访问您的登录屏幕。为了防止这种情况:建立一个IP地址跟踪表,记录每次命中和URI。如果在任何5分钟内,来自同一IP地址的登录尝试超过5次,则阻止并解释。第二种方法是采用两层密码方案,就像银行一样。对第二次传递的失败设置锁定可以提高安全性。
总结:使用耗时的哈希函数降低攻击者的速度。此外,阻止太多访问您的登录,并添加第二个密码层。
OAuth 2密码:
$bcrypt = new \Zend\Crypt\Password\Bcrypt;
$bcrypt->create("youpasswordhere", 10)
推荐文章
- 原则-如何打印出真正的sql,而不仅仅是准备好的语句?
- 如何从关联PHP数组中获得第一项?
- PHP/MySQL插入一行然后获取id
- 我如何排序一个多维数组在PHP
- 如何在PHP中截断字符串最接近于一定数量的字符?
- PHP错误:“zip扩展名和unzip命令都没有,跳过。”
- Nginx提供下载。php文件,而不是执行它们
- 无法安装gem -未能建立gem本地扩展-无法加载这样的文件——mkmf (LoadError)
- Json_encode()转义正斜杠
- 如何在PHP中捕获cURL错误
- ASP。NET身份的默认密码散列器-它是如何工作的,它是安全的?
- 如何要求一个分叉与作曲家?
- 为什么质数在密码学中很重要?
- 如何在php中创建可选参数?
- 在文本文件中创建或写入/追加
