Как вы используете bcrypt для хэширования паролей в PHP?

Question

Как вы используете bcrypt для хэширования паролей в PHP?

1151

Время от времени я слышу совет "Использовать bcrypt для хранения паролей в PHP, правила bcrypt".

Но что такое bcrypt? PHP не предлагает таких функций, Wikipedia болтает о утилите шифрования файлов и веб-поиске, просто раскрывает несколько реализаций Blowfish в разных языки. Теперь Blowfish также доступен на PHP через mcrypt, но как это помогает при хранении паролей? Blowfish - это шифр общего назначения, он работает двумя способами. Если он может быть зашифрован, его можно расшифровать. Пароли нуждаются в односторонней хэш-функции.

Какое объяснение?

Vilx- 25 янв. 2011, в 13:51

Источник

12

Этот вопрос был рассмотрен ранее , и их предложение использовать стандартную библиотеку превосходно. Безопасность - это сложный вопрос, и, используя пакет, разработанный кем-то, кто знает, какого черта они делают, вы только помогаете себе.
eykanal 23 май 2011, в 01:44
56

@eykanal - на этой странице даже не упоминается bcrypt, а тем более объясните, что это такое .
Vilx- 23 май 2011, в 08:18
0

Это правда. Тем не менее, я включил эту ссылку на основе названия вопроса, на который есть ответ на этот вопрос. Что касается фактических деталей bcrypt, вы можете ознакомиться с этой журнальной статьей . Однако поймите, что ваш вопрос очень широк; Вы просите краткое объяснение всей области исследований (что, я с готовностью признаю, я не знаком с собой).
eykanal 23 май 2011, в 14:07
8

@eykanal - я не прошу объяснения того, как это работает. Я просто хочу знать, что это такое. Потому что все, что я могу найти в сети под ключевым словом "bcrypt", никоим образом не может использоваться для хеширования паролей. Во всяком случае, не напрямую и не в PHP. Хорошо, теперь я понимаю, что это действительно пакет "phpass", который использует blowfish для шифрования вашего пароля с помощью ключа, полученного из вашего пароля (по сути, шифрование пароля самим собой). Но упоминание его как «bcrypt» вводит в заблуждение, и это то, что я хотел уточнить в этом вопросе.
Vilx- 23 май 2011, в 14:44
3

@Vilx: я добавил больше информации о том, почему bcrypt является односторонним алгоритмом хеширования, а не схемой шифрования в моем ответе . Существует целое заблуждение, что bcrypt - это просто Blowfish, когда на самом деле он имеет совершенно другое расписание ключей, которое гарантирует, что простой текст не может быть восстановлен из текста шифра без знания начального состояния шифра (соль, циклы, ключ).
Andrew Moore 08 сен. 2011, в 22:00
0

Как использовать функции хеширования паролей PHP 5.5
Sliq 13 сен. 2013, в 23:53
1

Также см. Портативный каркас хэширования паролей в Openwall (PHPass). Он защищен от ряда распространенных атак на пароли пользователей.
jww 11 окт. 2014, в 23:25

Показать ещё 5 комментариев

Теги:

php

cryptography

passwords

bcrypt

password-protection

9 ответов

288

Итак, вы хотите использовать bcrypt? Awesome! Однако, как и в других областях криптографии, вы не должны делать это сами. Если вам нужно беспокоиться о чем-либо вроде управления ключами или хранении солей или генерации случайных чисел, вы делаете это неправильно.

Причина проста: она настолько тривиально легка для испортить bcrypt. Фактически, если вы посмотрите почти на каждый фрагмент кода на этой странице, вы заметите, что он нарушает хотя бы одну из этих общих проблем.

Face It, криптография сложна.

Оставьте это для экспертов. Оставьте это для людей, которые работают, чтобы поддерживать эти библиотеки. Если вам нужно принять решение, вы делаете это неправильно.

Вместо этого просто используйте библиотеку. Некоторые из них существуют в зависимости от ваших требований.

Библиотеки

Ниже приведена разбивка некоторых наиболее распространенных API.

PHP 5.5 API - (доступно для 5.3.7 +)

Начиная с PHP 5.5, вводится новый API для хеширования паролей. Существует также библиотека совместимости прокладок, которая поддерживается мной (5.3). Это может быть рецензируемой и простой в использовании.

function register($username, $password) {
    $hash = password_hash($password, PASSWORD_BCRYPT);
    save($username, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    if (password_verify($password, $hash)) {
        //login
    } else {
        // failure
    }
}

Действительно, это было очень просто.

Ресурсы

Документация: на PHP.net
Библиотека совместимости: на GitHub
PHP RFC: на wiki.php.net

Zend\Crypt\Password\Bcrypt (5.3.2 +)

Это еще один API, похожий на PHP 5.5, и делает аналогичную цель.

function register($username, $password) {
    $bcrypt = new Zend\Crypt\Password\Bcrypt();
    $hash = $bcrypt->create($password);
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $bcrypt = new Zend\Crypt\Password\Bcrypt();
    if ($bcrypt->verify($password, $hash)) {
        //login
    } else {
        // failure
    }
}

Ресурсы

Документация: в Zend
Сообщение в блоге: Хеширование паролей с Zend Crypt

PasswordLib

Это немного другой подход к хешированию паролей. Вместо того, чтобы просто поддерживать bcrypt, PasswordLib поддерживает большое количество алгоритмов хеширования. Это в основном полезно в контексте, где вам необходимо поддерживать совместимость с устаревшими и разрозненными системами, которые могут быть вне вашего контроля. Он поддерживает большое количество алгоритмов хеширования. И поддерживается 5.3.2 +

function register($username, $password) {
    $lib = new PasswordLib\PasswordLib();
    $hash = $lib->createPasswordHash($password, '$2y$', array('cost' => 12));
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $lib = new PasswordLib\PasswordLib();
    if ($lib->verifyPasswordHash($password, $hash)) {
        //login
    } else {
        // failure
    }
}

Литература:

Исходный код/документация: GitHub

PHPASS

Это слой, который поддерживает bcrypt, но также поддерживает довольно сильный алгоритм, который полезен, если у вас нет доступа к PHP >= 5.3.2... Он фактически поддерживает PHP 3.0+ (хотя и не с bcrypt).

function register($username, $password) {
    $phpass = new PasswordHash(12, false);
    $hash = $phpass->HashPassword($password);
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $phpass = new PasswordHash(12, false);
    if ($phpass->CheckPassword($password, $hash)) {
        //login
    } else {
        // failure
    }
}

Ресурсы

Код: cvsweb
Сайт проекта: в OpenWall
Обзор < 5.3.0: https://stackoverflow.com/questions/16042128/is-this-a-good-hashing-password-function-in-php-if-not-why-not

Примечание.. Не используйте альтернативы PHPASS, которые не размещены в openwall, это разные проекты.

О BCrypt

Если вы заметили, каждая из этих библиотек вернет одну строку. Это из-за того, как BCrypt работает внутри. И есть TON ответов об этом. Вот выбор, который я написал, что я не буду копировать/вставлять сюда, но ссылаюсь на:

Фундаментальная разница между алгоритмами шифрования и шифрования - Объяснение терминологии и некоторой базовой информации о них.
Об обращении хэшей без таблиц радуги - В принципе, мы должны использовать bcrypt в первую очередь...
Хранение хэшей bcrypt - в основном, почему соль и алгоритм включены в хэш-результат.
Как обновить стоимость хэшей bcrypt - в основном, как выбрать, а затем сохранить стоимость хэша bcrypt.
Как использовать длинные пароли с помощью bcrypt - объясняет ограничение пароля на 72 символа bcrypt.
Как bcrypt использует соли
Рекомендации по использованию соляных и перечных паролей - В принципе, не используйте "перец"
Перенос старых md5 паролей на bcrypt

Обернуть

Есть много разных вариантов. Который вы выбираете, зависит от вас. Тем не менее, я бы ВЫСОКО рекомендовал использовать одну из вышеупомянутых библиотек для обработки этого для вас.

Опять же, если вы используете crypt() напрямую, вы, вероятно, делаете что-то неправильно. Если ваш код использует hash() (или md5() или sha1()) напрямую, вы почти наверняка делаете что-то неправильно.

Просто используйте библиотеку...

ircmaxell 12 июнь 2013, в 20:34

6

Соль должна генерироваться случайным образом, однако она не должна поступать из безопасного случайного источника. Соль не секрет . Возможность угадать следующую соль не оказывает реального влияния на безопасность; пока они поступают из достаточно большого пула данных, чтобы генерировать различные соли для каждого закодированного пароля, у вас все в порядке. Помните, что соль предназначена для предотвращения использования радужных таблиц, если ваши хеши попадают в плохие руки. Они не секрет.
Andrew Moore 21 июнь 2013, в 14:00
7

@AndrewMoore абсолютно правильно! Однако соль должна обладать достаточной энтропией, чтобы быть статистически уникальной. Не только в вашем приложении, но и во всех приложениях. Таким образом, mt_rand() имеет достаточно высокий период, но начальное значение составляет всего 32 бита. Таким образом, использование mt_rand() эффективно ограничивает вас только 32 битами энтропии. Который благодаря проблеме дня рождения означает, что у вас есть 50% -й шанс столкновения только на 7 000 сгенерированных солей (глобально). Так как bcrypt принимает 128 битов соли, лучше использовать источник, который может предоставить все 128 битов ;-). (при 128 битах вероятность столкновения составляет 50% при хеше 2e19) ...
ircmaxell 21 июнь 2013, в 14:09
1

@ircmaxell: «достаточно большой пул данных». Однако ваш источник не обязательно должен быть ОЧЕНЬ ВЫСОКИМ источником энтропии, достаточно высоким для 128 бит. Однако, если вы исчерпали все доступные источники (у вас нет OpenSSL и т. Д.), И ваш единственный запасной вариант - mt_rand (), он все равно лучше альтернативы (которая является rand ()).
Andrew Moore 23 июнь 2013, в 01:08
4

@AndrewMoore: абсолютно. Не спорю, что. Только что mt_rand и uniqid (и , следовательно , lcg_value и rand ) не является первым выбором ...
ircmaxell 23 июнь 2013, в 23:28
1

ircmaxell, большое спасибо за библиотеку password_compat для 5.3.xx, раньше нам это не нужно, но сейчас мы делаем это на php-сервере 5.3.xx, и спасибо за ваш четкий совет не пытаться делать эту логику себя.
Lizardx 08 дек. 2015, в 23:23
0

Лично я чувствую, что одна из причин того, что так много людей почти ничего не знают о том, как правильно / безопасно делать многие вещи с помощью криптографии, заключается в том, что им всегда говорили прекратить попытки делать это самостоятельно. Конечно, криптографию трудно получить правильно, но это еще одна причина для людей практиковать это, задавать больше вопросов об этом и узнавать, как сделать это правильно. Просто мои два цента по теме ... :)
Kröw 11 окт. 2018, в 17:44

Показать ещё 4 комментария

41

Вы получите много информации в Достаточно с таблицами Rainbow: что вам нужно знать о безопасных схемах паролей или Переносимая хеширование PHP-паролей.

Цель состоит в том, чтобы хешировать пароль с чем-то медленным, поэтому кто-то, получающий вашу базу данных паролей, умрет, пытаясь переборщить его (10 ms delay для проверки пароля ничего для вас, много для кого-то, пытающегося перебрать силу Это). Bcrypt медленный и может использоваться с параметром, чтобы выбрать, насколько он медленный.

Arkh 25 янв. 2011, в 17:31

0

@Arkh: Замедление того, как быстро он работает, не проблема. Брутфорсинг будет работать только тогда, когда вы, будучи разработчиком, не смогли применить политики надежных паролей.
Josh K 25 янв. 2011, в 15:48
7

Примените все, что вы хотите, пользователям удастся испортить и использовать один и тот же пароль на нескольких вещах. Таким образом, вы должны максимально защитить его или реализовать что-то, что позволит вам не хранить пароль (SSO, openID и т. Д.).
Arkh 25 янв. 2011, в 15:49
2

Вы можете легче предотвратить атаку с помощью грубого пароля, заблокировав «пользователей», которые не могут угадать свой пароль n раз в день, когда n превышает разумное количество попыток, например, 50.
coreyward 25 янв. 2011, в 15:50
0

@Arkh Итак, вы говорите, что, используя относительно медленный алгоритм хеширования (он все еще довольно быстрый), я могу запретить черной шляпе доступ к учетной записи пользователя, для которого он уже знаком с паролем, потому что это также пользовательский Myspace. пароль и пользователь вчера был взломан?
coreyward 25 янв. 2011, в 15:51
41

Нет. Хеширование паролей используется для защиты от одной атаки: кто-то украл вашу базу данных и хочет получить логин и пароли в виде открытого текста.
Arkh 25 янв. 2011, в 15:54
0

@Arkh: А что мешает им использовать более быструю машину, чем ты? Или распределение нагрузки по сети компьютеров? Облака дешевые, обработка дешевая, поэтому не тратьте их впустую в надежде, что это кого-то замедлит.
Josh K 25 янв. 2011, в 15:56
4

@ Джош К. Я рекомендую вам попытаться взломать несколько простых паролей после того, как они настроены через phpass, поэтому для его вычисления на вашем веб-сервере требуется от 1 до 10 мс.
Arkh 25 янв. 2011, в 16:02
1

@Arkh: qwerty все еще qwerty .
Josh K 25 янв. 2011, в 16:03
3

Согласовано. Но тип пользователя, который будет использовать qwerty в качестве пароля, также является типом пользователя, который будет отмечать любой сложный, где он (и злоумышленники) могут легко его прочитать. Что делает использование bcrypt, так это то, что, когда ваш БД становится публичным против вашей воли, тем пользователям, у которых есть пароль, например ^ | $$ & ZL6- £, будет сложнее, чем если бы вы использовали sha512 за один проход.
Arkh 25 янв. 2011, в 16:12
4

@coreyward стоит отметить, что делать это более вредно, чем вообще не блокировать; это легко считать вектором отказа в обслуживании. Просто начните рассылать плохие логины на любых известных учетных записях, и вы сможете очень, очень легко нарушить работу многих пользователей. Лучше атаковать (задержать) злоумышленника, чем полностью запретить доступ, особенно если это платящий клиент.
damianb 21 май 2012, в 00:17

Показать ещё 8 комментариев

33

Вы можете создать односторонний хеш с помощью bcrypt с помощью функции PHP crypt() и передать соответствующую соль Blowfish. Самое важное из всего уравнения состоит в том, что A) алгоритм не был скомпрометирован, а B) вы правильно соляли каждый пароль. Не используйте соль для всей заявки; который открывает все ваше приложение для атаки из одного набора таблиц Rainbow.

PHP - функция склепа

coreyward 25 янв. 2011, в 16:51

4

Это правильный подход - используйте функцию crypt() PHP, которая поддерживает несколько различных функций хеширования паролей. Убедитесь, что вы не используете CRYPT_STD_DES или CRYPT_EXT_DES - CRYPT_EXT_DES любой из других поддерживаемых типов (включая bcrypt под именем CRYPT_BLOWFISH ).
caf 27 янв. 2011, в 05:41
4

У SHA действительно есть и параметр стоимости, с помощью опции «раундов». Когда я использую это, я также не вижу причин отдавать предпочтение bcrypt.
Pieter Ennes 07 июль 2011, в 12:03
3

На самом деле, один SHA-1 (или MD5) пароля по-прежнему легко переборчив, с солью или без соли (соль помогает против радужных таблиц, а не против перебора). Используйте bcrypt.
Paŭlo Ebermann 09 сен. 2011, в 14:46
0

Меня беспокоит то, что все говорят «bcrypt», когда имеют в виду php's crypt ().
Sliq 11 май 2013, в 20:28
3

@Panique Почему? Алгоритм называется bcrypt . crypt предоставляет несколько хэшей паролей, причем bcrypt соответствует константе CRYPT_BLOWFISH . Bcrypt в настоящее время является самым мощным алгоритмом, поддерживаемым crypt а некоторые другие, которые он поддерживает, довольно слабые.
CodesInChaos 22 июнь 2013, в 16:49

Показать ещё 3 комментария

31

Изменить: 2013.01.15. Если ваш сервер будет поддерживать его, используйте решение martinstoeckli.

Каждый хочет сделать это более сложным, чем есть. Функция crypt() выполняет большую часть работы.

function blowfishCrypt($password,$cost)
{
    $chars='./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
    $salt=sprintf('$2y$%02d$',$cost);
//For PHP < PHP 5.3.7 use this instead
//    $salt=sprintf('$2a$%02d$',$cost);
    //Create a 22 character salt -edit- 2013.01.15 - replaced rand with mt_rand
    mt_srand();
    for($i=0;$i<22;$i++) $salt.=$chars[mt_rand(0,63)];
    return crypt($password,$salt);
}

Пример:

$hash=blowfishCrypt('password',10); //This creates the hash
$hash=blowfishCrypt('password',12); //This creates a more secure hash
if(crypt('password',$hash)==$hash){ /*ok*/ } //This checks a password

Я знаю, что это должно быть очевидно, но, пожалуйста, не используйте "пароль" в качестве пароля.

Jon Hulka 31 окт. 2012, в 08:59

3

Создание соли может быть улучшено (используйте случайный источник ОС), в противном случае это выглядит хорошо для меня. Для более новых версий PHP лучше использовать 2y вместо 2a .
martinstoeckli 10 янв. 2013, в 14:45
0

используйте mcrypt_create_iv($size, MCRYPT_DEV_URANDOM) качестве источника соли.
CodesInChaos 10 янв. 2013, в 21:00
0

Я более подробно рассмотрю mcrypt_create_iv (), когда у меня появится момент, если ничего другого не должно немного улучшить производительность.
Jon Hulka 11 янв. 2013, в 02:04
0

@CodesInChaos Я попытался заменить цикл for на mcrypt_create_iv(22, MCRYPT_DEV_URANDOM) , но он генерировал значения вне 64-символьного алфавита.
Jon Hulka 12 янв. 2013, в 03:42
2

Добавьте кодировку Base64 и переведите ее в пользовательский алфавит, который использует bcrypt . mcrypt_create_iv(17, MCRYPT_DEV_URANDOM) , str_replace('+', '.', base64_encode($rawSalt)) , $salt = substr($salt, 0, 22);
CodesInChaos 12 янв. 2013, в 08:22
1

@JonHulka - посмотрите на пакет совместимости PHP [Строка 127], это простая реализация.
martinstoeckli 12 янв. 2013, в 10:24
0

@CodesInChaos Так как не все системы имеют php-mcrypt по умолчанию (мой сервер Ubuntu этого не сделал), и не у всех есть привилегия устанавливать пакеты на своих серверах, я оставляю это как альтернативу для этих случаев.
Jon Hulka 15 янв. 2013, в 21:50
0

Возможный ярлык, попробуйте $salt .= uniqid($salt,true); вместо mt_rand (). Отказ от ответственности: Проверьте обсуждение SO на Uniqid.
Alvin K. 19 май 2013, в 19:37
0

Следует отметить, что использование примера password качестве пароля будет генерировать TRUE даже при использовании $hash=blowfishCrypt('password1',12); в сочетании с if(crypt('password',$hash)==$hash) , поэтому следует использовать другой пример и / или отметить его в этом ответе. Однако, используя $hash=blowfishCrypt('passworx',12); будет ЛОЖНЫМ и не будет совпадать.
Funk Forty Niner 24 май 2014, в 23:24
0

@ Fred-ii- Я только что проверил это: $hash=blowfishCrypt('password1',12); echo json_encode(crypt('password',$hash)==$hash); выводит «ложь»
Jon Hulka 27 май 2014, в 04:50
0

@JonHulka Так что я думаю, что использование / добавление json_encode поможет тогда.
Funk Forty Niner 27 май 2014, в 04:52
0

@ Fred-ii- нет: json_encode просто преобразует значение в строку.
Jon Hulka 27 май 2014, в 04:57

Показать ещё 10 комментариев

23

Версия 5.5 PHP будет иметь встроенную поддержку BCrypt, функции password_hash() и password_verify(). На самом деле это всего лишь обертки вокруг функции crypt() и упростить ее использование. Он заботится о создании безопасной случайной соли и обеспечивает хорошие значения по умолчанию.

Самый простой способ использования этих функций:

$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

Этот код будет хэш-пароль с помощью BCrypt (алгоритм 2y), генерирует случайную соль из случайного источника ОС и использует параметр стоимости по умолчанию (на данный момент это 10). Вторая строка проверяет, совпадает ли введенный пользователем пароль с уже сохраненным хэш-значением.

Если вы хотите изменить параметр стоимости, вы можете сделать это так, увеличивая параметр стоимости на 1, удваивая необходимое время для вычисления значения хэш-функции:

$hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 11));

В отличие от параметра "cost", лучше опустить параметр "salt", потому что функция уже делает все возможное, чтобы создать криптографически безопасную соль.

Для PHP версии 5.3.7 и более поздних версий существует пакет совместимости от того же автора, который сделал функцию password_hash(). Для версий PHP до 5.3.7 не поддерживается crypt() с 2y, безопасным алгоритмом BCrypt в Unicode. Вместо него можно заменить 2a, что является лучшей альтернативой для ранних версий PHP.

martinstoeckli 11 янв. 2013, в 09:46

3

После того, как я прочитал это, моей первой мыслью было «как вы храните полученную соль»? После просмотра документов функция password_hash () в итоге генерирует строку, в которой хранятся метод шифрования, соль и сгенерированный хэш. Таким образом, он просто хранит все, что нужно, в одной строке для работы функции password_verify (). Просто хотел упомянуть об этом, так как это может помочь другим, когда они видят это.
jzimmerman2011 29 авг. 2014, в 13:20
0

@ jzimmerman2011 - Точно, в другом ответе я попытался объяснить этот формат хранения на примере.
martinstoeckli 29 авг. 2014, в 13:40

5

Альтернативой является использование scrypt, специально разработанного для того, чтобы превосходить bcrypt Колина Персиваля в расшифровывать расширение PHP в PECL. В идеале этот алгоритм будет переведен в PHP, чтобы его можно было указать для функций password_ * (в идеале, как" PASSWORD_SCRYPT"), но этого еще нет.

Synchro 19 фев. 2014, в 15:25

4

Текущее мышление: хеши должны быть самыми медленными, а не самыми быстрыми. Это подавляет атаки радуги.

Также связано, но предосторожно: злоумышленник никогда не должен иметь неограниченный доступ к вашему экрану входа в систему. Чтобы предотвратить это: настройте таблицу отслеживания IP-адреса, которая записывает каждое нажатие вместе с URI. Если более 5 попыток входа в систему поступают с одного и того же IP-адреса в любой пятиминутный период, заблокируйте с объяснением. Вторичный подход состоит в том, чтобы иметь двухуровневую схему паролей, например, банки. Помещение блокировки для сбоев на втором проходе повышает безопасность.

Резюме: замедлить атакующего, используя длительные хэш-функции. Кроме того, заблокируйте слишком много доступа к вашему логину и добавьте второй уровень пароля.

FYA 07 дек. 2011, в 21:33

0

Я думаю, они предполагают, что злоумышленнику уже удалось украсть мою БД с помощью других средств, и теперь пытается получить пароли, чтобы опробовать их на PayPal или что-то в этом роде.
Vilx- 07 дек. 2011, в 22:35
4

На полпути до 2012 года, и этот ответ все еще сомнительный, как алгоритм медленного хеширования предотвращает атаки радужного стола? Я думал, что случайная соль диапазона байтов сделала? Я всегда думал, что скорость алгоритма хеширования определяет, сколько итераций они могут отправить против хэша, который они получили от вас за определенное время. Кроме того, НИКОГДА НЕ ЗАБИРАЙТЕ ПОЛЬЗОВАТЕЛЯ НА НЕУДАЧИХ ПОПЫТКАХ ВХОДА, поверьте мне, ваши пользователи будут сыты по горло, часто на некоторых сайтах мне нужно входить в систему почти 5 раз, иногда больше, прежде чем я запомнил свой пароль. Также второй уровень прохода не работает, хотя двухэтапная аутентификация с кодом мобильного телефона могла бы.
Sammaye 14 авг. 2012, в 15:02
1

@ Sammaye Я бы с этим согласился. Я установил блок на 5 неудачных попыток входа в систему, прежде чем быстро повысить его до 7, а затем 10, теперь он сидит на 20. Ни у одного обычного пользователя не должно быть 20 неудачных попыток входа в систему, но его достаточно мало, чтобы легко остановить атаки методом подбора.
Bruce Aldridge 01 сен. 2012, в 09:37
0

@BruceAldridge Лично я думаю, что было бы лучше сделать ваш скрипт приостановленным на случайное время после, скажем, 7 неудачных входов в систему и показывать капчу, а не блокировать. Блокировка - очень агрессивный шаг.
Sammaye 01 сен. 2012, в 10:36
1

@ Sammaye Я согласен, что постоянные блоки плохие. Я имею в виду временный блок, который увеличивается с количеством неудачных попыток.
Bruce Aldridge 14 сен. 2012, в 09:34

Показать ещё 3 комментария

2

Для паролей OAuth 2:

$bcrypt = new \Zend\Crypt\Password\Bcrypt;
$bcrypt->create("youpasswordhere", 10)

Shemeer M Ali 25 март 2016, в 18:25

Ещё вопросы

Этот вопрос был рассмотрен ранее , и их предложение использовать стандартную библиотеку превосходно. Безопасность - это сложный вопрос, и, используя пакет, разработанный кем-то, кто знает, какого черта они делают, вы только помогаете себе.
@eykanal - на этой странице даже не упоминается bcrypt, а тем более объясните, что это такое .
Это правда. Тем не менее, я включил эту ссылку на основе названия вопроса, на который есть ответ на этот вопрос. Что касается фактических деталей bcrypt, вы можете ознакомиться с этой журнальной статьей . Однако поймите, что ваш вопрос очень широк; Вы просите краткое объяснение всей области исследований (что, я с готовностью признаю, я не знаком с собой).
@eykanal - я не прошу объяснения того, как это работает. Я просто хочу знать, что это такое. Потому что все, что я могу найти в сети под ключевым словом "bcrypt", никоим образом не может использоваться для хеширования паролей. Во всяком случае, не напрямую и не в PHP. Хорошо, теперь я понимаю, что это действительно пакет "phpass", который использует blowfish для шифрования вашего пароля с помощью ключа, полученного из вашего пароля (по сути, шифрование пароля самим собой). Но упоминание его как «bcrypt» вводит в заблуждение, и это то, что я хотел уточнить в этом вопросе.
@Vilx: я добавил больше информации о том, почему bcrypt является односторонним алгоритмом хеширования, а не схемой шифрования в моем ответе . Существует целое заблуждение, что bcrypt - это просто Blowfish, когда на самом деле он имеет совершенно другое расписание ключей, которое гарантирует, что простой текст не может быть восстановлен из текста шифра без знания начального состояния шифра (соль, циклы, ключ).
Как использовать функции хеширования паролей PHP 5.5
Также см. Портативный каркас хэширования паролей в Openwall (PHPass). Он защищен от ряда распространенных атак на пароли пользователей.
Соль должна генерироваться случайным образом, однако она не должна поступать из безопасного случайного источника. Соль не секрет . Возможность угадать следующую соль не оказывает реального влияния на безопасность; пока они поступают из достаточно большого пула данных, чтобы генерировать различные соли для каждого закодированного пароля, у вас все в порядке. Помните, что соль предназначена для предотвращения использования радужных таблиц, если ваши хеши попадают в плохие руки. Они не секрет.
@AndrewMoore абсолютно правильно! Однако соль должна обладать достаточной энтропией, чтобы быть статистически уникальной. Не только в вашем приложении, но и во всех приложениях. Таким образом, mt_rand() имеет достаточно высокий период, но начальное значение составляет всего 32 бита. Таким образом, использование mt_rand() эффективно ограничивает вас только 32 битами энтропии. Который благодаря проблеме дня рождения означает, что у вас есть 50% -й шанс столкновения только на 7 000 сгенерированных солей (глобально). Так как bcrypt принимает 128 битов соли, лучше использовать источник, который может предоставить все 128 битов ;-). (при 128 битах вероятность столкновения составляет 50% при хеше 2e19) ...
@ircmaxell: «достаточно большой пул данных». Однако ваш источник не обязательно должен быть ОЧЕНЬ ВЫСОКИМ источником энтропии, достаточно высоким для 128 бит. Однако, если вы исчерпали все доступные источники (у вас нет OpenSSL и т. Д.), И ваш единственный запасной вариант - mt_rand (), он все равно лучше альтернативы (которая является rand ()).
@AndrewMoore: абсолютно. Не спорю, что. Только что mt_rand и uniqid (и , следовательно , lcg_value и rand ) не является первым выбором ...
ircmaxell, большое спасибо за библиотеку password_compat для 5.3.xx, раньше нам это не нужно, но сейчас мы делаем это на php-сервере 5.3.xx, и спасибо за ваш четкий совет не пытаться делать эту логику себя.
Лично я чувствую, что одна из причин того, что так много людей почти ничего не знают о том, как правильно / безопасно делать многие вещи с помощью криптографии, заключается в том, что им всегда говорили прекратить попытки делать это самостоятельно. Конечно, криптографию трудно получить правильно, но это еще одна причина для людей практиковать это, задавать больше вопросов об этом и узнавать, как сделать это правильно. Просто мои два цента по теме ... :)
@Arkh: Замедление того, как быстро он работает, не проблема. Брутфорсинг будет работать только тогда, когда вы, будучи разработчиком, не смогли применить политики надежных паролей.
Примените все, что вы хотите, пользователям удастся испортить и использовать один и тот же пароль на нескольких вещах. Таким образом, вы должны максимально защитить его или реализовать что-то, что позволит вам не хранить пароль (SSO, openID и т. Д.).
Вы можете легче предотвратить атаку с помощью грубого пароля, заблокировав «пользователей», которые не могут угадать свой пароль n раз в день, когда n превышает разумное количество попыток, например, 50.
@Arkh Итак, вы говорите, что, используя относительно медленный алгоритм хеширования (он все еще довольно быстрый), я могу запретить черной шляпе доступ к учетной записи пользователя, для которого он уже знаком с паролем, потому что это также пользовательский Myspace. пароль и пользователь вчера был взломан?
Нет. Хеширование паролей используется для защиты от одной атаки: кто-то украл вашу базу данных и хочет получить логин и пароли в виде открытого текста.
@Arkh: А что мешает им использовать более быструю машину, чем ты? Или распределение нагрузки по сети компьютеров? Облака дешевые, обработка дешевая, поэтому не тратьте их впустую в надежде, что это кого-то замедлит.
@ Джош К. Я рекомендую вам попытаться взломать несколько простых паролей после того, как они настроены через phpass, поэтому для его вычисления на вашем веб-сервере требуется от 1 до 10 мс.
Согласовано. Но тип пользователя, который будет использовать qwerty в качестве пароля, также является типом пользователя, который будет отмечать любой сложный, где он (и злоумышленники) могут легко его прочитать. Что делает использование bcrypt, так это то, что, когда ваш БД становится публичным против вашей воли, тем пользователям, у которых есть пароль, например ^ | $$ & ZL6- £, будет сложнее, чем если бы вы использовали sha512 за один проход.
@coreyward стоит отметить, что делать это более вредно, чем вообще не блокировать; это легко считать вектором отказа в обслуживании. Просто начните рассылать плохие логины на любых известных учетных записях, и вы сможете очень, очень легко нарушить работу многих пользователей. Лучше атаковать (задержать) злоумышленника, чем полностью запретить доступ, особенно если это платящий клиент.
Это правильный подход - используйте функцию crypt() PHP, которая поддерживает несколько различных функций хеширования паролей. Убедитесь, что вы не используете CRYPT_STD_DES или CRYPT_EXT_DES - CRYPT_EXT_DES любой из других поддерживаемых типов (включая bcrypt под именем CRYPT_BLOWFISH ).
У SHA действительно есть и параметр стоимости, с помощью опции «раундов». Когда я использую это, я также не вижу причин отдавать предпочтение bcrypt.
На самом деле, один SHA-1 (или MD5) пароля по-прежнему легко переборчив, с солью или без соли (соль помогает против радужных таблиц, а не против перебора). Используйте bcrypt.
Меня беспокоит то, что все говорят «bcrypt», когда имеют в виду php's crypt ().
@Panique Почему? Алгоритм называется bcrypt . crypt предоставляет несколько хэшей паролей, причем bcrypt соответствует константе CRYPT_BLOWFISH . Bcrypt в настоящее время является самым мощным алгоритмом, поддерживаемым crypt а некоторые другие, которые он поддерживает, довольно слабые.
Создание соли может быть улучшено (используйте случайный источник ОС), в противном случае это выглядит хорошо для меня. Для более новых версий PHP лучше использовать 2y вместо 2a .
используйте mcrypt_create_iv($size, MCRYPT_DEV_URANDOM) качестве источника соли.
Я более подробно рассмотрю mcrypt_create_iv (), когда у меня появится момент, если ничего другого не должно немного улучшить производительность.
@CodesInChaos Я попытался заменить цикл for на mcrypt_create_iv(22, MCRYPT_DEV_URANDOM) , но он генерировал значения вне 64-символьного алфавита.
Добавьте кодировку Base64 и переведите ее в пользовательский алфавит, который использует bcrypt . mcrypt_create_iv(17, MCRYPT_DEV_URANDOM) , str_replace('+', '.', base64_encode($rawSalt)) , $salt = substr($salt, 0, 22);
@JonHulka - посмотрите на пакет совместимости PHP [Строка 127], это простая реализация.
@CodesInChaos Так как не все системы имеют php-mcrypt по умолчанию (мой сервер Ubuntu этого не сделал), и не у всех есть привилегия устанавливать пакеты на своих серверах, я оставляю это как альтернативу для этих случаев.
Возможный ярлык, попробуйте $salt .= uniqid($salt,true); вместо mt_rand (). Отказ от ответственности: Проверьте обсуждение SO на Uniqid.
Следует отметить, что использование примера password качестве пароля будет генерировать TRUE даже при использовании $hash=blowfishCrypt('password1',12); в сочетании с if(crypt('password',$hash)==$hash) , поэтому следует использовать другой пример и / или отметить его в этом ответе. Однако, используя $hash=blowfishCrypt('passworx',12); будет ЛОЖНЫМ и не будет совпадать.
@ Fred-ii- Я только что проверил это: $hash=blowfishCrypt('password1',12); echo json_encode(crypt('password',$hash)==$hash); выводит «ложь»
@JonHulka Так что я думаю, что использование / добавление json_encode поможет тогда.
@ Fred-ii- нет: json_encode просто преобразует значение в строку.
После того, как я прочитал это, моей первой мыслью было «как вы храните полученную соль»? После просмотра документов функция password_hash () в итоге генерирует строку, в которой хранятся метод шифрования, соль и сгенерированный хэш. Таким образом, он просто хранит все, что нужно, в одной строке для работы функции password_verify (). Просто хотел упомянуть об этом, так как это может помочь другим, когда они видят это.
@ jzimmerman2011 - Точно, в другом ответе я попытался объяснить этот формат хранения на примере.
Я думаю, они предполагают, что злоумышленнику уже удалось украсть мою БД с помощью других средств, и теперь пытается получить пароли, чтобы опробовать их на PayPal или что-то в этом роде.
На полпути до 2012 года, и этот ответ все еще сомнительный, как алгоритм медленного хеширования предотвращает атаки радужного стола? Я думал, что случайная соль диапазона байтов сделала? Я всегда думал, что скорость алгоритма хеширования определяет, сколько итераций они могут отправить против хэша, который они получили от вас за определенное время. Кроме того, НИКОГДА НЕ ЗАБИРАЙТЕ ПОЛЬЗОВАТЕЛЯ НА НЕУДАЧИХ ПОПЫТКАХ ВХОДА, поверьте мне, ваши пользователи будут сыты по горло, часто на некоторых сайтах мне нужно входить в систему почти 5 раз, иногда больше, прежде чем я запомнил свой пароль. Также второй уровень прохода не работает, хотя двухэтапная аутентификация с кодом мобильного телефона могла бы.
@ Sammaye Я бы с этим согласился. Я установил блок на 5 неудачных попыток входа в систему, прежде чем быстро повысить его до 7, а затем 10, теперь он сидит на 20. Ни у одного обычного пользователя не должно быть 20 неудачных попыток входа в систему, но его достаточно мало, чтобы легко остановить атаки методом подбора.
@BruceAldridge Лично я думаю, что было бы лучше сделать ваш скрипт приостановленным на случайное время после, скажем, 7 неудачных входов в систему и показывать капчу, а не блокировать. Блокировка - очень агрессивный шаг.
@ Sammaye Я согласен, что постоянные блоки плохие. Я имею в виду временный блок, который увеличивается с количеством неудачных попыток.

Andrew Moore · Accepted Answer · 2011-06-13T23-09-00.000Z

928

Лучший ответ

bcrypt - это алгоритм хэширования, который масштабируется с помощью аппаратного обеспечения (через настраиваемое количество раундов). Его медленность и несколько раундов гарантирует, что злоумышленник должен развернуть огромные средства и оборудование, чтобы взломать ваши пароли. Добавьте к этому пароль соли (bcrypt ТРЕБУЕТ соли), и вы можете быть уверены, что атака практически невозможна без какой-либо смехотворной суммы средств или аппаратное обеспечение.

bcrypt использует алгоритм Eksblowfish для хэш-паролей. Хотя фаза шифрования Eksblowfish и Blowfish абсолютно одинакова, ключевая фаза расписания Eksblowfish гарантирует, что любое последующее состояние зависит как от соли, так и от ключа (пароль пользователя), и никакое состояние не может быть предварительно вычислено без знания обоим. Из-за этого ключевого различия bcrypt является односторонним алгоритмом хеширования. Вы не можете получить пароль обычного текста, не зная соли, раунды и клавишу (пароль), [Источник]

Как использовать bcrypt:

Использование PHP >= 5.5-DEV

Функции хеширования паролей теперь построены непосредственно в PHP >= 5.5. Теперь вы можете использовать password_hash() для создания хеша bcrypt любого пароля:

<?php
// Usage 1:
echo password_hash('rasmuslerdorf', PASSWORD_DEFAULT)."\n";
// $2y$10$xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
// For example:
// $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a

// Usage 2:
$options = [
  'cost' => 11
];
echo password_hash('rasmuslerdorf', PASSWORD_BCRYPT, $options)."\n";
// $2y$11$6DP.V0nO7YI3iSki4qog6OQI5eiO6Jnjsqg7vdnb.JgGIsxniOn4C

Чтобы проверить пароль, предоставленный пользователем для существующего хеша, вы можете использовать password_verify():

<?php
// See the password_hash() example to see where this came from.
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';

if (password_verify('rasmuslerdorf', $hash)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}

Использование PHP >= 5.3.7, < 5.5-DEV (также RedHat PHP >= 5.3.3)

Существует библиотека совместимости на GitHub созданный на основе исходного кода вышеупомянутых функций, первоначально написанных на C, который обеспечивает ту же функциональность. Как только библиотека совместимости установлена, использование будет таким же, как указано выше (минус обозначение сокращенного массива, если вы все еще находитесь в ветке 5.3.x).

Использование PHP < 5.3.7 (DEPRECATED)

Вы можете использовать функцию crypt() для генерации хэшей bcrypt входных строк. Этот класс может автоматически генерировать соли и проверять существующие хэши на вход. Если вы используете версию PHP выше или равную 5.3.7, настоятельно рекомендуется использовать встроенную функцию или библиотеку совместимости. Эта альтернатива предоставляется только в исторических целях.

class Bcrypt{
  private $rounds;

  public function __construct($rounds = 12) {
    if (CRYPT_BLOWFISH != 1) {
      throw new Exception("bcrypt not supported in this installation. See http://php.net/crypt");
    }

    $this->rounds = $rounds;
  }

  public function hash($input){
    $hash = crypt($input, $this->getSalt());

    if (strlen($hash) > 13)
      return $hash;

    return false;
  }

  public function verify($input, $existingHash){
    $hash = crypt($input, $existingHash);

    return $hash === $existingHash;
  }

  private function getSalt(){
    $salt = sprintf('$2a$%02d$', $this->rounds);

    $bytes = $this->getRandomBytes(16);

    $salt .= $this->encodeBytes($bytes);

    return $salt;
  }

  private $randomState;
  private function getRandomBytes($count){
    $bytes = '';

    if (function_exists('openssl_random_pseudo_bytes') &&
        (strtoupper(substr(PHP_OS, 0, 3)) !== 'WIN')) { // OpenSSL is slow on Windows
      $bytes = openssl_random_pseudo_bytes($count);
    }

    if ($bytes === '' && is_readable('/dev/urandom') &&
       ($hRand = @fopen('/dev/urandom', 'rb')) !== FALSE) {
      $bytes = fread($hRand, $count);
      fclose($hRand);
    }

    if (strlen($bytes) < $count) {
      $bytes = '';

      if ($this->randomState === null) {
        $this->randomState = microtime();
        if (function_exists('getmypid')) {
          $this->randomState .= getmypid();
        }
      }

      for ($i = 0; $i < $count; $i += 16) {
        $this->randomState = md5(microtime() . $this->randomState);

        if (PHP_VERSION >= '5') {
          $bytes .= md5($this->randomState, true);
        } else {
          $bytes .= pack('H*', md5($this->randomState));
        }
      }

      $bytes = substr($bytes, 0, $count);
    }

    return $bytes;
  }

  private function encodeBytes($input){
    // The following is code from the PHP Password Hashing Framework
    $itoa64 = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';

    $output = '';
    $i = 0;
    do {
      $c1 = ord($input[$i++]);
      $output .= $itoa64[$c1 >> 2];
      $c1 = ($c1 & 0x03) << 4;
      if ($i >= 16) {
        $output .= $itoa64[$c1];
        break;
      }

      $c2 = ord($input[$i++]);
      $c1 |= $c2 >> 4;
      $output .= $itoa64[$c1];
      $c1 = ($c2 & 0x0f) << 2;

      $c2 = ord($input[$i++]);
      $c1 |= $c2 >> 6;
      $output .= $itoa64[$c1];
      $output .= $itoa64[$c2 & 0x3f];
    } while (true);

    return $output;
  }
}

Вы можете использовать этот код следующим образом:

$bcrypt = new Bcrypt(15);

$hash = $bcrypt->hash('password');
$isGood = $bcrypt->verify('password', $hash);

В качестве альтернативы вы также можете использовать Portable PHP Hashing Framework.

Andrew Moore 13 июнь 2011, в 23:09

0

Ваша реализация, кажется, segfault, когда третий вариант для случайной генерации байтов. Я посмотрел на php.net/crypt, и один из лучших вариантов генерации случайных байтов был невероятно прост. Взгляните на мою переписать: gist.github.com/1070401
Robert K 07 июль 2011, в 20:00
1

@ Злая Блоха: mt_rand() нельзя использовать в контекстах, чувствительных к безопасности. Кроме того, этот код использовался во многих средах без каких-либо проблем, и ни один PHP-скрипт не должен segfault . Возможно, вы захотите изучить перекомпиляцию PHP в вашей среде.
Andrew Moore 08 июль 2011, в 01:17
0

Похоже, что segfault в кодировке base64 в моей среде. И я считаю mt_rand более безопасным, потому что случайное начальное число не является microtime() , что слишком предсказуемо. Хеширование MD5, которое вы сделали, я считаю небезопасным, потому что это только один раунд; только bcrypt делает его безопасным (мы надеемся).
Robert K 08 июль 2011, в 11:24
7

@ The Wicked Flea: Извините, что разочаровал вас, но mt_rand() также отображается с использованием текущего времени и текущего идентификатора процесса. Пожалуйста, смотрите GENERATE_SEED() в /ext/standard/php_rand.h .
Andrew Moore 08 июль 2011, в 15:45
1

Хорошо, тогда они так же безопасны, как и друг друга.
Robert K 08 июль 2011, в 21:50
0

@ Злая Блоха: почти невозможно предсказать точную миллисекунду И ИД процесса генерации в любом случае.
Andrew Moore 09 июль 2011, в 00:02
0

А что? Я говорю, что любой может редактировать и изменять код выше, так что это не очень хорошее место для этого.
Kzqai 05 авг. 2011, в 15:40
6

@Tchalvak: Вот почему в Stack Overflow есть истории редактирования . Вы можете видеть, кто что редактировал.
Andrew Moore 05 авг. 2011, в 16:45
7

@ Андрей, ты не против, если я использую этот код в программе, которую я пишу?
Mike 12 авг. 2011, в 02:28
52

@Mike: Давай, это именно по этой причине!
Andrew Moore 12 авг. 2011, в 04:01
14

Для тех, кто думает, что им нужно изменить начало строки $ salt в функции getSalt, в этом нет необходимости. $ 2a $ __ является частью соли CRYPT_BLOWFISH. Из документов: «Blowfish хэширует с солью следующим образом:« $ 2a $ », двухзначный параметр стоимости,« $ »и 22 цифры из алфавита».
jwinn 21 авг. 2011, в 09:18
0

На самом деле, единственный алгоритм, который масштабируется с помощью оборудования , не совсем прав. Даже из описания РНР крипт функции, CRYPT_SHA265 и CRYPT_SHA512 также настраиваемое количество раундов. Blowfish имеет некоторые преимущества (хотя не так легко распараллелить на графических процессорах из-за необходимости 4 КБ ОЗУ). Последующей разработкой является scrypt, которой также требуется настраиваемый (большой) объем памяти для запуска, что делает перебор еще более дорогостоящим.
Paŭlo Ebermann 09 сен. 2011, в 14:43
2

@ Paŭlo Ebermann: SHA256 и SHA512 сами по себе не делают. crypt() использует усиление ключа для достижения того же эффекта. Вы не можете иметь только один раунд bcrypt . Усиление ключа является неотъемлемой частью алгоритма Eksblowfish.
Andrew Moore 10 сен. 2011, в 02:56
1

@AndrewMoore: Согласно руководству по PHP для crypt () , соли CRYPT_BLOWFISH имеют двухзначную стоимость, а « CRYPT_BLOWFISH параметр стоимости является логарифмом base-2 числа итераций для базового алгоритма хеширования на основе Blowfish и должен быть в диапазоне 04-31 значения вне этого диапазона вызовут ошибку crypt (). " Однако в Bcrypt::getSalt() вы напрямую вставляете $this->rounds Bcrypt::getSalt() в ключ. Я считаю, что это должен быть log($this->rounds, 2) , нет?
FtDRbwLXw6 29 дек. 2011, в 20:15
2

Я также согласен с @Tchalvak, что если вы хотите, чтобы люди использовали это, вы должны сделать из библиотеки с открытым исходным кодом обычные атрибуты (хранилище VCS, средство отслеживания ошибок, страница проекта). Тогда люди будут более склонны обсуждать и анализировать их на наличие уязвимостей (и, возможно, отправлять исправления для их устранения).
Matthew Flaschen 06 фев. 2012, в 22:46
0

Похоже, что вы нигде не используете rounds , за исключением объединения в хеш. Там нет петли на его основе.
Matthew Flaschen 06 фев. 2012, в 23:14
4

@MatthewFlaschen: crypt() выполняет хеширование строки. Он использует предоставленную соль (с идентификатором $2a$rounds$ чтобы определить количество раундов, которые он должен сделать.
Andrew Moore 08 фев. 2012, в 13:42
0

@ AndrewMoore, спасибо. Но похоже, что drrcknlsn прав, что он должен делать log .
Matthew Flaschen 08 фев. 2012, в 14:31
4

@ MatthewFlaschen: Опять же, нет, crypt() позаботится об этом. Реализация алгоритма bcrypt полностью обрабатывается crypt() а не моим кодом выше. Мой код генерирует только правильную соль в формате, который ожидает crypt() для проверки / хеширования строки.
Andrew Moore 08 фев. 2012, в 19:34
0

@MatthewFlaschen: число, которое вы предоставляете (как разработчик), уже является логарифмом с базовым числом 2. Попробуйте свой код, он сломается.
Andrew Moore 10 фев. 2012, в 17:03
3

@AndrewMoore, так вы ожидаете, что параметр конструктора $rounds rounds будет логарифмом с базой 2? Это хорошо, за исключением того, что имя вводит в заблуждение. Вы должны прояснить, что это журнал подсчета раундов. Отсюда мое предложение вызвать параметр конструктора $log_2_rounds .
Matthew Flaschen 10 фев. 2012, в 17:09
1

Обратите внимание, что это работает, только если у вас PHP 5.3+! У меня PHP 5.2.17, и я получаю Error 500 из-за исключения, если CRYPT_BLOWFISH недоступен.
Ozzy 27 апр. 2012, в 21:48
2

@Ozzy взгляните на openwall.com/phpass, в котором есть несколько резервных схем хеширования для 3 <= PHP <5.3
jah 08 июнь 2012, в 18:50
3

Есть ли какое-то значение для сумасшедшего itoa64 сравнению с использованием base64_encode ? Количество символов одинаково, но значения совершенно разные. Первый как-то безопаснее?
Explosion Pills 21 июнь 2012, в 00:00
0

Так где мы будем хранить соль?
Jeff Davis 21 июнь 2012, в 22:06
2

@JeffDavis соль уже является неотъемлемой частью созданного хэша.
Andrew Moore 21 июнь 2012, в 22:24
1

@Ozzy Вы также можете установить патч Suhosin, чтобы CRYPT_BLOWFISH был доступен на PHP 5.2.
Martijn Heemels 07 июль 2012, в 00:33
0

@AndrewMoore, так что подождите, результат crypt($input, $this->getSalt()) такой же, как crypt($input, $existingHash) где $existingHash - это то, что мы получили в результате первого шага? это действительно не имеет смысла для меня, как это в конечном итоге то же самое
Andy Lobel 10 июль 2012, в 02:04
2

@AndyLobel: соль присутствует в полном хеше, поэтому хеш можно пересчитать с исходной солью для получения того же результата. $2a$<roundCount>$<salt><computedHash>
Andrew Moore 10 июль 2012, в 17:41
0

@AndrewMoore, так что в $existingHash istingHash функция crypt использует только $2a$<roundCount>$<salt> ? и на самом деле не нужна часть <computedHash> ? Спасибо за ответ ;-)
Andy Lobel 11 июль 2012, в 02:08
0

@AndrewMoore Если у меня есть логин / пароль для входа в систему, я мог бы сначала проверить, совпадает ли электронная почта, а затем получить соответствующий пароль из строки mysql, а затем проверить правильность процесса проверки?
hellomello 11 июль 2012, в 06:22
0

@andrewliu он всегда изменяется даже при использовании одного и того же слова, потому что каждый раз при вызове функции hash() генерируется новая случайная соль, каждый раз меняя общий результат
Andy Lobel 11 июль 2012, в 06:59
0

@AndyLobel Я знаю это, вот что я сказал, наверное, я неправильно написал hash . Я спрашиваю, как лучше всего проверить это в базе данных MySQL.
hellomello 11 июль 2012, в 13:49
2

@andrewliu: вызовите функцию $bcrypt->verify() с открытым текстом в качестве первого параметра и хешем, сохраненным в базе данных в качестве второго параметра.
Andrew Moore 11 июль 2012, в 16:21
0

@andrewliu Я делаю это так же, как вы сказали, проверяйте электронную почту и одновременно извлекайте хеш из базы данных, затем проверяйте этот хеш по хешу пароля, введенного пользователем при входе в систему.
Andy Lobel 11 июль 2012, в 21:49
0

@AndrewMoore не могли бы вы прокомментировать различия между этим: yiiframework.com/wiki/292/secure-password-hashing-with-bcrypt и вашим выше и сказать, какой из них лучше, спасибо ;-)
Andy Lobel 11 июль 2012, в 21:50
0

@AndyLobel: тяжелая работа выполняется с помощью crypt() . Там нет лучше.
Andrew Moore 11 июль 2012, в 23:15
0

@ AndrewMoore Мне нравится твоя идея сначала проверить это. Но проверка выдает 1, если это правда? а у него два параметра? Я немного смущен вашим методом. Или я думаю по другому? Спасибо за ответ!
hellomello 12 июль 2012, в 04:27
0

@AndrewMoore Кроме того, я только что попробовал свой метод, проверил электронную почту, а затем получил хешированный пароль из базы данных, чтобы проверить использование verify() , и кажется, что он все еще не совпадает. = \ помоги мне пожалуйста
hellomello 12 июль 2012, в 05:29
5

@andrewliu: $bcrypt->verify($passwordAsProvidedByTheUser, $hashInTheDB); Если он возвращает true , он действителен.
Andrew Moore 12 июль 2012, в 16:46
0

@ AndrewMoore способ генерации bytes в указанной мной ссылке отличается от того, как вы делаете это выше; какой путь лучше? сорррый хаха вот мой последний вопрос
Andy Lobel 13 июль 2012, в 02:45
0

Спасибо @AndrewMoore, так что, если у меня версия php> = 5.3.0 и я не на сервере Windows, я могу просто избавиться от других откатов для генерации байтов
Andy Lobel 13 июль 2012, в 07:07
0

@ AndrewMoore да, именно так я и пытаюсь проверить для проверки. Я даже пытался повторить verify() , но это не получилось как true или 1. Я хэшировал ввод пользователя, затем я проверил базу данных по электронной почте, чтобы получить «хешированный» пароль от регистрации, и проверил это через проверить.
hellomello 13 июль 2012, в 08:09
3

@andrewliu убедитесь, что поле в вашей базе данных достаточно длинное, чтобы содержать хэш пароля varchar(60) я допустил на какое-то время, а также проверить, true ли оно используется var_dump($bcrypt->verify('password', $hash))
Andy Lobel 13 июль 2012, в 08:36
0

-1 потому что вы резервный RNG вообще не случайный (основанный только на системном времени не хорошая случайность). Измените его, чтобы использовать хотя бы проверенный алгоритм PRNG, такой как MT.
ircmaxell 13 июль 2012, в 14:26
5

@ircmaxell: mt_rand mt_rand() засевается точно так же, как и в 5.3 ( getmypid() доступен во всех системах ... И вы должны знать, что вы ZCE в конце концов). Можно утверждать, что польза от криптографически безопасной соли здесь крайне мала; при перемешивании соль не считается секретом. Он просто заставляет злоумышленника генерировать другую радужную таблицу для каждого пароля (вместо того, чтобы использовать одну и ту же для всех). Возможность угадать следующую соль не дает злоумышленнику никакой пользы (она в тексте хэша).
Andrew Moore 13 июль 2012, в 17:29
0

@AndyLobel сначала я подумал, что это тоже будет проблемой, но я установил в своей базе данных поле text . я постараюсь использовать var_dump, когда у меня будет шанс
hellomello 13 июль 2012, в 19:50
0

@AndyLobel Да, бул bool(false)
hellomello 14 июль 2012, в 03:44
0

@ AndrewMoore Привет, я действительно задал вопрос относительно моей проблемы, мне было интересно, если вы, возможно, сможете найти то, что мне не хватает? Я впадаю в отчаяние, и это единственное, что мне нужно сделать, чтобы перейти на мою страницу входа в систему ( stackoverflow.com/questions/11481199/… ) Большое спасибо!
hellomello 14 июль 2012, в 04:59
0

@andrewliu нет ничего плохого в syntax вашего кода, единственная причина, по которой он не будет работать, $pass_l том, что $pass_l или $chk_pass не являются тем, чем они должны быть ;-), так что я продолжаю комментировать вещи, нацеленные на другого парня looool я могу пообщаться с тобой, чтобы помочь тебе, если ты хочешь; p
Andy Lobel 14 июль 2012, в 08:30
0

@AndyLobel извините, я забыл добавить переменную $hash_1 которая является хешем от $pass_1 , а затем ее нужно проверить с помощью verify($hash_1, $chk_pass) заявленного Эндрю Муром из комментария выше.
hellomello 14 июль 2012, в 18:52
0

@timpeterson: Сколько раундов вы используете? Больше раундов = больше сложности = больше времени ...
Andrew Moore 16 июль 2012, в 20:05
0

@AndrewMoore Я буквально скопировал и вставил ваш код в файл test.php. Итак, я думаю, $rounds=12 ? Однако когда я уменьшил его до $rounds=1 , это все равно заняло ~ 10 секунд. Есть ли что-то еще, что мне нужно сделать, чтобы получить время <1сек? Для потребительского веб-приложения 10сек - это слишком много времени.
tim peterson 16 июль 2012, в 20:36
0

<strike> Я единственный, кто не видит значение округления, используемое в hash функции? </ strike> Не обращайте на это внимания - оно указывается как часть хеш-функции.
Polynomial 16 июль 2012, в 20:57
0

@AndrewMoore, извините, теперь я вижу, где $rounds=15 rounds $rounds=15 как указано в вашем коде: $bcrypt = new Bcrypt(15); , Если вы измените это на $bcrypt = new Bcrypt(4); тогда это возвращает истину почти мгновенно.
tim peterson 16 июль 2012, в 21:38
0

@timpeterson: Вы должны выбрать количество раундов, которое приводит к 200-250 мс работы. Одна из причин, почему bcrypt безопасен, заключается в том, что он медленный. Вы должны убедиться, что количество раундов, которые сохраняют эту характеристику.
Andrew Moore 16 июль 2012, в 23:07
1

@ AndrewMoore спасибо, запустив microtime() из Bcrypt(4) в Bcrypt(9) время идет от 0.010 до 0.314 . Итак, Bcrypt(9) - это то, что я, вероятно, сделаю.
tim peterson 16 июль 2012, в 23:37
2

Боже мой. Не используйте криптографический код, который не загружен куда-то, к которому привязаны, одобрены и проверены специалистами, которых вы можете идентифицировать как настоящих авторитетов в криптографии. Это не об открытых и закрытых источниках. Где бы он ни был загружен, он должен предоставлять обзор проверенного и проверенного источника. Речь идет о признании того, что у большинства из нас нет возможностей критиковать криптографию, и о том, что слепые не могут вести слепых. Я серьезно полагаюсь на анонимные отзывы в вики, чтобы сказать мне, не компрометирую ли я данные своего клиента? Потому что это все, что не крипто-эксперты могут сделать с этим.
Michael Lang 04 авг. 2012, в 16:54
18

@MichaelLang: Хорошо, что crypt() проверен и проверен. Приведенный выше код вызывает PHP crypt() , который вызывает функцию crypt() POSIX. Весь приведенный выше код делает больше - генерирует случайную соль (которая не должна быть криптографически безопасной, соль не считается секретной) перед вызовом crypt() . Может быть, вам следует провести небольшое исследование, прежде чем вызывать волка.
Andrew Moore 04 авг. 2012, в 17:03
2

@ AndrewMoore Человек, извини. Я занимался исследованиями. Я только что сделал ошибку и ошибочно принял ваш солеобразующий код для создания хеша. Может быть, вы могли бы вытащить поколение соли? Мне становится очень неловко, когда я представляю, как люди привыкли копировать / вставлять большую кучу крипто-кода. Требуется внимательный взгляд, чтобы отличить то, что вы сделали, от того, что породило эту дискуссию здесь: news.ycombinator.com/item?id=2654586
Michael Lang 04 авг. 2012, в 17:59
1

@AndrewMoore Я бы тоже отредактировал комментарий, но ссылка пропала, поэтому я могу только удалить (что я ненавижу делать, потому что это делает ответы бессмысленными). Но если вы хотите удалить, я сделаю это
Michael Lang 04 авг. 2012, в 18:01
30

Обратите внимание, что этот ответ, хотя и хороший, начинает показывать свой возраст. Этот код (как и любая реализация PHP, основанная на crypt() ) подвержен уязвимости безопасности до 5.3.7, и (очень немного) неэффективен после 5.3.7 - подробности соответствующей проблемы можно найти здесь . Также обратите внимание, что новый API хеширования паролей ( обратная компат-библиотека ) теперь является предпочтительным методом реализации хеширования паролей bcrypt в вашем приложении.
DaveRandom 19 дек. 2012, в 14:48
0

Привет, Эндрю! Я просто успешно реализовал это в своем CodeIgniter в качестве краткосрочного решения, пока версия 5.5 не стала полностью стабильной, однако до этого я использовал Password_Compat, и предпочтительная длина varchar в БД составляла 75 ... случайно, какова длина пароля с ? - это все еще 60?
RaGe10940 14 фев. 2013, в 04:14
1

@AndrewMoore Почему хэш-память пуста, если в раундах я опускаюсь ниже 4? Я поймаю это сейчас, так как он не генерирует хеш при моей установке PHP 5.3.14 mac. Но что вызывает это?
spankmaster79 10 май 2013, в 15:27
2

@ spankmaster79: «Двузначный параметр стоимости является логарифмом base-2 числа итераций для базового алгоритма хеширования на основе Blowfish и должен находиться в диапазоне 04-31, значения вне этого диапазона вызовут сбой crypt ()».
Andrew Moore 10 май 2013, в 16:40
0

@ AndrewMoore хорошо, я изменил код, чтобы установить его на 4, если он ниже
spankmaster79 13 май 2013, в 09:54
1

Люди, спрашивающие, почему соль начинается с $ 2a, почему сам хеш содержит соль, почему крипта ($ input, $ this-> getSalt ()) такая же, как crypt ($ input, $ Существующий). посмотрите на происхождение функции склепа здесь: en.wikipedia.org/wiki/Crypt_(C)#Blowfish-based_scheme
MaxiWheat 09 июнь 2013, в 14:51
0

Это только у меня или необходимость в функции encodeBytes можно заменить на $salt .= str_replace('+', '.', base64_encode($bytes)) внутри getSalt ?
MaxiWheat 09 июнь 2013, в 15:10
1

«// OpenSSL работает медленно в Windows» Не делайте этого. Кроме того, генерация соли очень плохая (22 строки из 64 символов, а не 22 случайных символа).
Ry-♦ 24 июль 2014, в 04:29
0

Соль теперь обесценилась с php 7.0! Смотрите здесь
maxisme 14 дек. 2015, в 11:51
1

Честное слово, я все еще спрашиваю себя, почему авторы сценариев / документов на php.net включают в себя ."\n" в первую очередь для password_hash () . На этот вопрос никогда не отвечали, и люди все еще используют / добавляют это ."\n" в свой код и молча терпят неудачу при использовании password_verify() . Этот ответ необходимо обновить, чтобы отразить это, а также процитировать эту важную заметку php.net/manual/en/function.password-hash.php#121017 и отдать должное Джею Бланшарду .
Funk Forty Niner 08 сен. 2017, в 12:48
0

@ Fred-ii- Трудно поверить, что компетентные программисты не поймут, что новая строка предназначена только для echo , она не является частью хэша.
Barmar 08 сен. 2017, в 14:43
2

@ Бармар Вы знаете, и я знаю, и многие другие "компетентные программисты" знают. Но как насчет тех, кто не знает? Тебе нужно выйти за рамки этого и мыслить нестандартно, чтобы хоть немного встать на ноги ;-)
Funk Forty Niner 08 сен. 2017, в 14:54
0

ИМО, вы можете ожидать только столько защитной документации. Я предполагаю, что они должны найти каждый пример, который повторяет новую строку, и исправить это.
Barmar 08 сен. 2017, в 14:58
0

@ Barmar Вот и все; новички почти не читают всю документацию и / или не заходят так далеко, чтобы увидеть комментарии пользователей, объясняющие проблему с символом новой строки. Я скажу тебе что; Я создам анимацию, которую я создал в 3D-студии еще в 90-х годах, а также немного графики, которую я воссоздал, и часть, которую я преобразовал из растрового изображения в вектор, и уберу логотипы, над которыми я работал, чтобы понять режущие плоттеры, а затем я просто покажу вам его изображение и посмотрим, сможете ли вы выяснить, как я это сделал (X лет назад) ;-) Надеюсь, я получу сообщение здесь.
Funk Forty Niner 08 сен. 2017, в 15:01
0

Почему вы $2y$11$6DP.V0nO7YI3iSki4qog6OQI5eiO6Jnjsqg7vdnb.JgGIsxniOn4C совершенно другой формат в $2y$11$6DP.V0nO7YI3iSki4qog6OQI5eiO6Jnjsqg7vdnb.JgGIsxniOn4C и в $2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq Это только сбивает с толку, кто изучает этот материал.
Rodrigo 06 окт. 2018, в 23:33

Показать ещё 74 комментария