Symfony2: Wie erstelle ich sha512-hash für ein Passwort?

Ich vergleichen müssen das Passwort durch den Benutzer eingegeben werden, ob es gültig ist oder nicht. Wie bekomme ich die sha512-Verschlüsselung. Ich bin auch mit FOSUserBundle in meinem Projekt.

Werfen Sie einen Blick auf meine Blowfish Passwort-encoder bundle.
Hey vielen Dank für diesen link. Seine große. Versuchen Sie es aus.
Als Variante können Sie bekommen Instanz von encoder und verwenden Sie es der encode-Methode auf. Blick auf die encoder-Klasse in diese Antwort stackoverflow.com/a/18291974/251735
Nur mit Hilfe einer hash-Funktion ist nicht ausreichend und nur das hinzufügen einer Salz tut wenig zur Verbesserung der Sicherheit. Stattdessen Durchlaufen Sie einen HMAC mit einem zufälligen salt für etwa 100ms Dauer und speichern Sie das Salz mit dem hash. Verwenden Sie Funktionen wie PBKDF2 (aka Rfc2898DeriveBytes), password_hash/password_verify, Bcrypt - und ähnliche Funktionen. Der Punkt ist, um die Angreifer verbringen viel Zeit der Suche nach Passwörter durch brute-force. Schützen Sie Ihre Benutzer ist wichtig, benutzen Sie bitte die sichere Passwort-Methoden.

InformationsquelleAutor VishwaKumar | 2012-03-30

  1. 10

    In Ihrem controller, den Sie tun können (unter der Annahme, dass Sie sha512 als encoding-Algorithmus in app/config/security.yml)

        $userName = 'username';
    $password = "pass";
    $userManager = $this->get('fos_user.user_manager');
    $user = $userManager->loadUserByUsername($userName);
    $encoder = $this->get('security.encoder_factory')->getEncoder($user);
    $encodedPass = $encoder->encodePassword($password, $user->getSalt());
    echo $user->getPassword() === $encodedPass;
    Ich Frage mich nur, was wäre die Logik, wenn ich prüfen will ein Benutzer ein Kennwort ein, auch wenn er angemeldet ist, im Falle umleiten ihm für einige sicheren Seite. Also, wie ist der Vergleich der Passwörter erfolgt in diesem Szenario. Danke @m2mdas
    Können Sie überprüfen, dieser Artikel. Habe es nicht versucht, aber.
    Sehr nützlich Artikel. Danke!!!
    Dies funktionierte nicht für mich. Dies Tat: github.com/FriendsOfSymfony/FOSUserBundle/issues/696

    InformationsquelleAutor Mun Mun Das

  2. 2

    Symfony bietet verschiedene Möglichkeiten zum speichern von Passwörtern. Die Logik hash und überprüfen Sie das Kennwort gespeichert wird in mehreren "Encoder" - Klassen:

    Welcher verwendet wird kann konfiguriert werden, in Sicherheit.yml, unter dem Schlüssel encoder. Wenn dieser sagt sha512 Sie sind mit der MessageDigestPasswordEncoder.

    Den encoder-Typ für verschiedene user-Typen. Um die richtigen encoder für einen Benutzer, Sie können Fragen, die EncoderFactory. Dieser ist bereits für Sie getan in der UserPasswordEncoder: übergeben Sie eine Benutzer-und eine nur-Text-Kennwort zu UserPasswordEncoder->isPasswordValid, und es prüft das Passwort mit den richtigen encoder gehören zu diesem user. Dies ist die einfachste Schnittstelle zum überprüfen des Kennworts eines Benutzers.

    Wenn Sie wirklich wollen, zu wissen, wie die SHA512 hashing funktioniert, können Sie überprüfen,MessageDigestPasswordEncoder. Es verbindet die Salz und Passwort in einem string wie "Passwort{Salz}". Es berechnet den hash des string 5000 mal. Dies ist, um den Passwort-hash langsam, so ist es nicht einfach zu brute-force.

    Bei der Prüfung, ob das Kennwort gültig ist, es verwendet die hash_equals. Dies ist eine Konstante-time-Vergleich, die verhindert, dass timing-Angriffe auf den Passwort-hash.

    InformationsquelleAutor Sjoerd

  3. 1

    Wenn Sie sicher sind, dass es SHA512, die Sie benötigen, versuchen diese.

    Ich habe versucht, diese war aber nicht immer richtigen hash-irgendwie! Ich denke, FOSUserBundle verwendet das Salz zur Codierung der Kennwörter.

    InformationsquelleAutor halfer

Schreibe einen Kommentar