Hướng dẫn how does php password_hash work - php password_hash hoạt động như thế nào
|
Nói chung: Show
Bạn luôn nên áp dụng muối khi băm mật khẩu, để có một hàm băm khác ngay cả khi bạn có cùng một mật khẩu. Điều này làm tăng bảo mật bằng cách "ngăn chặn" mọi người sử dụng bảng cầu vồng để bẻ khóa mật khẩu. Nhưng bcrypt tự xử lý muối! Quay lại câu hỏi ban đầu của bạn: Chi phí được sử dụng để làm cho nó "tốn kém" để bẻ khóa mật khẩu bằng một cuộc tấn công từ điển/vũ phu. BCRYPT về cơ bản băm mật khẩu nhiều lần, điều này khiến nó tốn thời gian (= tốn kém) để lấy mật khẩu vào một hàm băm đã cho. Nếu bạn cố gắng tìm mật khẩu cho một hàm băm (tấn công lực lượng vũ phu), bạn phải tính toán hàng tỷ băm mật khẩu. Khi mỗi lần băm mất thời gian "$ chi phí", thì một cuộc tấn công vũ lực là không khả thi. Ngay cả khi bạn có thể tính toán băm cho một mật khẩu tiềm năng tính bằng mili giây. Nói một cách đơn giản: Nếu bạn có mật khẩu băm cho SHA-1 (không an toàn, không sử dụng nó!) Với muối (vì điều này thường được chứa trong băm) và bạn muốn hack nó sau đó bạn phải băm tất cả Mật khẩu + muối và khi bạn tìm thấy sự kết hợp với cùng một hàm băm, bạn đã tìm thấy một mật khẩu có thể cho băm này. Giả sử bạn sử dụng muối tốt và mật khẩu đủ dài, sau đó bạn cần một cái gì đó như 1-5 giây cho hàm băm mật khẩu. Nếu bạn sử dụng phương pháp Blowfish với chi phí = 10, bạn cần 10-50 giây cho hàm băm mật khẩu. Đối với một mật khẩu duy nhất, đây không phải là vấn đề lớn. Vì vậy, một cuộc tấn công theo chỉ đạo cho một hàm băm duy nhất vẫn đơn giản, nhưng thường mọi người có được danh sách lớn các kết hợp người dùng và mật khẩu và họ quan tâm để lấy mật khẩu cho tất cả chúng một cách nhanh chóng. Sau đó, điều này ít sinh lợi hơn cho kẻ xấu, vì anh ta cần gấp 10 lần sức mạnh CPU để tính tất cả những thứ đó. MS1 tại rdrecs dot com ¶
Ẩn danh ¶ hman ¶ Password_hash PHP là gì? password_hash () tạo một hàm băm mật khẩu mới bằng thuật toán băm một chiều mạnh mẽ. Các thuật toán sau đây hiện đang được hỗ trợ: password_default - Sử dụng thuật toán BCRYPT (mặc định là Php 5.5. 0). Lưu ý rằng hằng số này được thiết kế để thay đổi theo thời gian vì các thuật toán mới và mạnh hơn được thêm vào PHP.
Thuật ngữ nào mà password_verify sử dụng?
Cho đầu vào Mike Robinson ¶ 8 năm trước — Creates a password hash MS1 tại rdrecs dot com ¶php dot net tại Marksim dot org ¶(string 2 năm trước
Các tùy chọn được hỗ trợ cho $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K5: $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K5:
Các tùy chọn được hỗ trợ cho $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K8 và $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K9: $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K8 and $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K9:
Appropriate Cost Found: 10 2 (int) - biểu thị chi phí thuật toán nên được sử dụng. Ví dụ về các giá trị này có thể được tìm thấy trên trang Crypt ().Nếu bị bỏ qua, giá trị mặc định củaAppropriate Cost Found: 103 sẽ được sử dụng. Đây là một chi phí cơ bản tốt, nhưng bạn có thể muốn xem xét tăng nó tùy thuộc vào phần cứng của bạn. Các tùy chọn được hỗ trợ cho $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K8 và $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K9:
Appropriate Cost Found: 108 (int) - Khoảng thời gian tối đa có thể mất để tính toán băm argon2. Mặc định là Appropriate Cost Found: 109. $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K5 as the algorithm, will result in the Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT02 parameter being truncated to a maximum length of 72 bytes. Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT00 (int) - Số lượng luồng để sử dụng để tính toán băm argon2. Mặc định là Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT01. Chỉ có sẵn khi PHP sử dụng libargon2, không phải với việc thực hiện libsodium. Thông số
Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT02 Mật khẩu của người dùng. Thận trọngSử dụng $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K5 làm thuật toán, sẽ dẫn đến tham số Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT02 bị cắt theo chiều dài tối đa là 72 byte.
Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT05password_verify() function to verify the hash without needing separate storage for the salt or algorithm information.
Một thuật toán mật khẩu hằng số biểu thị thuật toán sẽ sử dụng khi băm mật khẩu.
Sự mô tảpassword_hash () không còn trả về
Tham số Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT05 bây giờ là không thể. $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a Tham số
Tham số Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT05 bây giờ là không thể. $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K Tham số
password_hash('rasmuslerdorf')6Tham số Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT05 bây giờ là không thể. Appropriate Cost Found: 10 Tham số
Tham số Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT05 bây giờ là không thể. Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0 Tham số Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0 5 mong đợi một chuỗi bây giờ, nhưng vẫn chấp nhận INTS để tương thích ngược.
Appropriate Cost Found: 108 (int) - Khoảng thời gian tối đa có thể mất để tính toán băm argon2. Mặc định là Appropriate Cost Found: 109.
Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT00 (int) - Số lượng luồng để sử dụng để tính toán băm argon2. Mặc định là Argon2i hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT01.
Xem thêm
PHPNetComment201908 tại Lucb1e Dot Com ¶ ¶ 3 năm trước
'rasmuslerdorf'2Nicoswd ¶ ¶ 9 năm trước
'rasmuslerdorf'2Lyo mi ¶ 6 năm trước
'rasmuslerdorf'2Cloxy ¶ ¶ 9 năm trước
password_hash('rasmuslerdorf')9Lyo mi ¶ 9 năm trước
Lyo mi ¶ 6 năm trước
'rasmuslerdorf'2Cloxy ¶ ¶ 3 năm trước
'rasmuslerdorf'2Nicoswd ¶ ¶ 9 năm trước
'rasmuslerdorf'2Lyo mi ¶ 3 năm trước
$2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K00 $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K01 'rasmuslerdorf'2Lyo mi ¶ 9 năm trước $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K03 $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K04 'rasmuslerdorf'2
Lyo mi ¶ 3 năm trước $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K06 $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K07 $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K08 $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K09 $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K10 'rasmuslerdorf'2Password_hash PHP là gì?password_hash () tạo một hàm băm mật khẩu mới bằng thuật toán băm một chiều mạnh mẽ. Các thuật toán sau đây hiện đang được hỗ trợ: password_default - Sử dụng thuật toán BCRYPT (mặc định là Php 5.5. 0). Lưu ý rằng hằng số này được thiết kế để thay đổi theo thời gian vì các thuật toán mới và mạnh hơn được thêm vào PHP.creates a new password hash using a strong one-way hashing algorithm. The following algorithms are currently supported: PASSWORD_DEFAULT - Use the bcrypt algorithm (default as of PHP 5.5. 0). Note that this constant is designed to change over time as new and stronger algorithms are added to PHP.
Làm thế nào an toàn là password_hash php?Kết quả băm từ password_hash () là an toàn vì: Nó sử dụng thuật toán băm mạnh mẽ.Nó thêm một muối ngẫu nhiên để ngăn chặn các bảng cầu vồng và các cuộc tấn công từ điển.It uses a strong hashing algorithm. It adds a random salt to prevent rainbow tables and dictionary attacks.
Password_hash có đủ không?Password_hash có đủ tốt không? "Vâng, nó đủ an toàn, và vâng, có một cách tốt hơn/an toàn hơn. Kể từ Php 7.2, argon2 là một phần của phương pháp mới được thực hiện (băm) để giành được sự cạnh tranh băm mật khẩu cung cấp phương pháp mạnh mẽ hơn, nếu bạn muốn nâng cấp phiên bản PHP của bạn lên 7.2.Yes it is safe enough, and yes there is a better/safer way. As of PHP 7.2, Argon2 is part of a newly implemented (hashing) method that won the Password Hashing Competition which offers a more robust method, should you want to upgrade your version of PHP to 7.2.
Thuật ngữ nào mà password_verify sử dụng?Nó sử dụng thuật toán mặc định để tạo giá trị băm của mật khẩu.Nó sử dụng thuật toán Crypt_blowfish để tạo giá trị băm của mật khẩu.default algorithm to generate the hash value of the password. It uses the CRYPT_BLOWFISH algorithm to generate the hash value of the password. |
