Die Umsetzung von bcrypt ist empfohlen für PHP 5.3?

OK, ich endlich verstehen, bcrypt, wie es funktioniert und wie, um es zu speichern in der DB, so bin ich fast gut zu gehen. Das problem ist jetzt Kommissionierung, die Durchführung von bcrypt verwenden mit PHP 5.3.

Ich werde verrückt Blick auf all die verschiedenen Lösungen, und ich bin mir nicht sicher, welche ist die am meisten empfohlene und sicherste zu verwenden, und so bin ich wieder einmal drehen zu Euch.

Sind hier die, die ich gefunden habe:

1) https://gist.github.com/marcoarment/1053158

2) http://www.openwall.com/phpass/

3) https://stackoverflow.com/a/6337021/869849

4) ...etwas anderes?

Sind diese austauschbar, oder produzieren Sie unterschiedliche hashes? Ich würde gerne glauben, dass, da Sie alle "bcrypt", Sie würden die gleichen Ergebnisse liefern, aber ich bin mir nicht sicher (ich habe das getestet 1) und 2) oben und Sie scheinen austauschbar sein, da der hash produziert von 1) ausgecheckt auf 2)).

Also, was ist die empfohlene Lösung für PHP 5.3?

  • Are these interchangeable, or do they produce different hashes? Warum gehst du nicht laden Sie Sie und versuchen Sie es?
  • Beste Lösung: sollten Sie den Passwort-Bibliothek, gebaut-in für PHP 5.5. Sie veröffentlicht haben, eine rückwärts-Kompatibilität version für PHP 5.3 und 5.4. Siehe hier. Jedoch beachten Sie, dass Sie brauchen, 5.3.7 oder höher. Es war eine Frage der Sicherheit mit bcrypt vor 5.3.7 was bedeutet, dass die neue Bibliothek wird nicht funktionieren.
  • Ich meinte eher allgemein, als ich tatsächlich versucht 1) und 2) zu sein scheinen austauschbar, wie erwähnt in meinem Beitrag oben.
  • Mein PHP ist unter 5.3.7 leider, sonst wäre optimal gewesen. Was würden Sie sagen, ist die nächste beste option?
  • dann im Idealfall sollten Sie ein upgrade auf einmal (Anmerkung: ich habe erwähnt, gibt es ein Sicherheits-Problem in älteren Versionen von bcrypt). Wenn Sie nicht aktualisieren oder nicht verwenden können, verwenden Sie die Password_compat lib aus einem anderen Grund, den nächsten besten, würde ich vorschlagen, ist PasswordLib, von demselben Autor.
  • OK, ich habe gerade aktualisiert auf PHP 5.3.22 auf Ihre Beratung. Wie installiere ich die Bibliothek, die Sie empfehlen und wie würde ich es verwenden, um bcrypt Benutzerkennwörter?
  • halten Sie auf, ich poste es als Antwort, anstatt hier in den Kommentaren....
  • Du bist Super, tausend Dank! 🙂
  • Siehe auch Openwall ist PHP password hashing framework (PHPass). Seine tragbare und gehärtete gegen eine Reihe von gemeinsamen Angriffe auf Benutzer-Passwörter. Der Kerl, der schrieb das framework (SolarDesigner) ist der gleiche Kerl, der schrieb John-The-Ripper und sitzt als Richter in der Passwort-Hashing-Wettbewerb. Damit er weiß eine Sache oder zwei über Angriffe auf Passwörter.

InformationsquelleAutor ProgrammerGirl | 2013-03-27
  1. 18

    Beste Lösung: sollten Sie den Passwort-Bibliothek, gebaut-in für PHP 5.5. Sie veröffentlicht haben, eine rückwärts-Kompatibilität version für PHP 5.3 und 5.4 genannten password_compat. Jedoch beachten Sie, dass Sie brauchen, 5.3.7 oder höher. Es war eine Frage der Sicherheit mit bcrypt vor 5.3.7 was bedeutet, dass die neue Bibliothek wird nicht funktionieren.

    Wenn Sie auf eine version vor version 5.3.7, dann ist die nächste beste option ist Passwort Lib vom gleichen Autor. Aber ich würde vorschlagen, Upgrade PHP-stattdessen wäre die bessere option.

    Installieren

    Beide Bibliotheken installiert werden können, einfach durch herunterladen, kopieren Sie Sie auf Ihren Website-Ordner und darunter auch Ihre wichtigste Datei in Ihrem code - ie require('password.php');.

    Installation über Composer ist auch eine option, wenn Sie es verwenden.

    Nutzung (Vorausgesetzt, du gehst mit password_compat):

    Ein Kennwort zu erstellen:

    $hash = password_hash($password, PASSWORD_BCRYPT);

    Überprüfen Passwort:

    if (password_verify($password, $hash)) {
    /* Valid */
} else {
    /* Invalid */
}

    - Und das ist im Grunde alles, was Sie wissen müssen. Die Bibliothek kümmert sich um alle weiteren details für Sie wie Salzen Sie das Kennwort, etc.

    [EDIT] Wenn Sie müssen, ändern Sie den Algorithmus 'Kosten', wie pro Ihren Kommentar, dann fügen Sie einen zusätzlichen parameter an die password_hash() anrufen um es zu spezifizieren, wie diese:

    password_hash($password, PASSWORD_BCRYPT, array("cost" => 11));

    Vollständige Dokumentation ist verfügbar auf der download-Seite, die ich weiter oben verlinkt.

    Das eine wirklich gute Sache, über die Verwendung der password_compat Bibliothek ist, dass es ist speziell entwickelt, um die gleiche API und Funktionen, gebaut in PHP als standard in PHP 5.5. Daher, wenn Sie password_compat, während Sie auf PHP 5.3 oder 5.4, wenn Sie zu PHP 5.5 wirst du schon den richtigen code in Ihr system zu verwenden, das neue built-in Passwort-Funktionen. Der einzige Unterschied wird sein, dass Sie nicht brauchen, um include die Bibliothek.

    • Dank Spudley! Was muss ich tun/ändern, wenn ich irgendwann ein upgrade auf PHP 5.5?
    • Es ist der name, der die Kompatibilitäts-Bibliothek. Sollten Sie wechseln zu PHP 5.5 später, können Sie einfach entfernen Sie die require('password.php') und Sie sollten in Ordnung sein, die Funktion in PHP 5.5 wird mit dem gleichen Namen und die gleichen Parameter.
    • Ich habe geändert, die Antwort deutlicher machen. 🙂
    • Genial, danke für die Klarstellung. Letzte Frage: wie setzt man die Anzahl der "Runden" (z.B. 8, 12, usw.) beim erstellen der hash?
    • Es ist bereits ein guter Standard-Wert von 10 auf, so könnten Sie lassen Sie es einfach aus. Wenn yout möchten, verwenden Sie ein weiterer Kostenfaktor, den Sie schreiben können, wie dies password_hash($password, PASSWORD_BCRYPT, ["cost" => 11]).
    • Danke! Ich habe gehört, dass je höher der Runden/Kosten, desto besser, solange es nicht zu lange dauern zu überprüfen (etwa 1 Sekunde dass es sinnvoll ist, bei einem login). Also ich denke, in der er mit 13, als meine hardware kann es in unter 1 Sekunde.
    • ist richtig, aber beachten Sie, dass die syntax er verwendet in dem Kommentar oben verwendet kurze array-syntax erfordert PHP 5.4. (OP Staaten hat er 5.3).
    • bearbeitet beantworten, um weitere Beispiel, die Angabe der Kosten-parameter (dh die "Runden" - Funktion, die Sie gefragt).
    • Ich will nicht klingen wie ein Arsch, aber da Sie gerade ein "Sicherheits-feature" möchte ich vorschlagen, Sie Lesen, auf die Dokumentation besser, die Antwort auf die Anzahl der Runden, wie Sie angeben, die Anzahl der Runden und die Zeit, die es (sollte) nehmen und einige weitere Fragen in die Kommentare Sie geschrieben haben, alle beantwortet in den Dokumentation und/oder Ihre die Vorherige Frage. Ich finde es eher unhöflich zu halten, Fragen zu stellen, die Leute investieren Zeit, um für Sie, ohne dass Sie jede Arbeit.
    • Auch die, die besagt "ich werde verrückt Blick auf all die verschiedenen Lösungen" ist nicht sehr glaubwürdig, wenn beide Fragen (dies und Ihre Vorherige) sind nur 50 Minuten entfernt. Entweder Sie investieren nicht viel Aufwand oder Ihre bar für "verrückt" auf eine sehr niedrige Schwelle 😉 Also, password_compat erwähnt wurde, in Ihre die Vorherige Frage und trotzdem sind Sie nicht die Mühe, es zu betrachten oder erwähnen Sie es in dieser Frage? Warum? Ich sage nur...
    • Ich verstehe nicht, warum Sie jagen mich herum und geben mir eine harte Zeit, ich verbrachte gestern den ganzen Tag (nicht "50 Minuten") die Erforschung von bcrypt zum x-TEN mal. Ich weiß sehr wenig über Verschlüsselung, so dass ich nicht wollen, keine Annahmen und die Gefahr, etwas falsch zu machen, die bis Ende verlassen eine riesige Sicherheitslücke auf meiner Website. Bitte machen Sie keine Annahmen über mich, da Sie mich nicht kennen oder wie lange habe ich damit verbracht, die Erforschung bcrypt. Danke.
    • Ich bin nicht "jagen" Sie (gerade zufällig auf diese Frage, wie auch Ihre Vorherige Frage). Alles was ich sage ist, dass zwischen den beiden Fragen ist eine 50-minütige Zeitspanne. In der vorherigen Frage eine Menge erklärt wurde, password_compat wurde erwähnt, und eine Menge (wenn nicht alle) der Ihre Fragen zu DIESER Frage wurden bereits beantwortet. Alles was ich sage ist, könnten Sie brauchen, um mehr zu Lesen Sie sorgfältig und versuchen Sie sich zu erinnern, andere Leute investieren Zeit Ihre Fragen beantworten. Ehre (Ehre, wenn man so will), dass die Zeit durch das Studium der Antworten nahe(r). Vergangenes vergangen sein.
    • Verstanden, aber auf der Grundlage der upvotes und die Zeiten meiner bcrypt-Fragen heute wurden Gefällt, ich bin eindeutig nicht der einzige mit diesen zweifeln. Sicherheit/Verschlüsselung ist sehr, sehr hart für diejenigen von uns, die nicht Experten in der it, und die Risiken sind enorm, so dass ich immer lieber zu Fragen (auch wenn es mich lässt mich dumm Aussehen) anstatt davon ausgehen, Verstand ich etwas richtig, wenn die Anteile dieser hohe. Jedenfalls, vielen Dank für Ihre Beratung.

    InformationsquelleAutor Spudley
  2. 2

    wenn Sie versuchen, ein update auf PHP 5.5 bitte Lesen Sie diese vor der migration diese Anleitung hat sehr interessante Punkte, die gelesen werden soll, vor der Aktualisierung

    Gibt es Veränderungen von 5.3 auf 5.4 und die release notes rückwärts-Inkompatibilität Seite

    http://php.net/manual/en/migration54.incompatible.php

    • Ich kann nichts finden auf der verlinkten Seite, dass würde jede Andeutung über die Verwendung des password_hash().
    • Nein, es ist nicht über die password_hash() es ist für das Upgrade von PHP 5.3.x 5.5 ich habe das gleiche problem und ich habe eine Lösung für ein upgrade auf PHP 5.5 und so lese ich über ein Upgrade in die Seite.
    • Ok, aber was hat das mit der Frage zu tun dann?
    • Ich war Lesen Sie in den Antworten zu dieser "Besten Lösung: verwenden Sie die Passwort-Bibliothek, gebaut-in für PHP 5.5. Sie veröffentlicht haben, eine rückwärts-Kompatibilität version für PHP 5.3 und 5.4 genannten password_compat. Jedoch beachten Sie, dass Sie brauchen, 5.3.7 oder höher. Es war eine Frage der Sicherheit mit bcrypt vor 5.3.7 was bedeutet, dass die neue Bibliothek wird nicht funktionieren." so Schreibe ich "wenn Sie versuchen, ein update auf PHP 5.5 bitte Lesen Sie diese vor der migration" für jeden Planung auf aktualisieren. das ist es.
    • Ah gut, das Sicherheits-Problem wurde behoben, mit der 2y Algorithmus statt 2a beide produzieren BCrypt-hashes. Selbst wenn Sie erstellt hashes mit 2a können Sie überprüfen, mit PHP 5.5, so dass es wird rückwärts-kompatibel. Nur mit einigen sehr seltsamen und ungültige unicode-Passwörter könnten Sie bekommen keinen ärger, aber auch dann ist die Verwendung von 2a war der beste verfügbare Algorithmus.
    • Danke @martinstoeckli für die info, aber ich habe ein problem mit PHPass, die ich nicht wissen sollte, ob es richtig ist oder nicht, um zu Leben meine Frage hier der link für Sie zu sehen, aber trotzdem bitte Lesen Sie es und wenn können Sie mir helfen mit es ich wäre Ihnen sehr dankbar für Sie stackoverflow.com/questions/26034417/...
    • Lassen Sie uns weiter, diese Diskussion im chat.

    InformationsquelleAutor Yousef Altaf
Schreibe einen Kommentar