• PHP Bcrypt 更安全的密码加密机制 阿星小栈

    为了避免在服务器受到攻击,数据库被拖库时,用户的明文密码不被泄露,一般会对密码进行单向不可逆加密——哈希。

    常见的方式是:

    哈希方式 加密密码
    md5(‘123456’) e10adc3949ba59abbe56e057f20f883e
    md5(‘123456’ . ($salt = ‘salt’)) 207acd61a3c1bd506d7e9a4535359f8a
    sha1(‘123456’) 40位密文
    hash(‘sha256’, ‘123456’) 64位密文
    hash(‘sha512’, ‘123456’) 128位密文

    密文越长,在相同机器上,进行撞库消耗的时间越长,相对越安全。

    比较常见的哈希方式是 md5 + 盐,避免用户设置简单密码,被轻松破解。

    比较常见的哈希方式是 md5 + 盐,避免用户设置简单密码,被轻松破解。

    password_hash

    但是,现在要推荐的是 password_hash() 函数,可以轻松对密码实现加盐加密,而且几乎不能破解。

    1 $password = '123456';
2  
3 var_dump(password_hash($password, PASSWORD_DEFAULT));
4 var_dump(password_hash($password, PASSWORD_DEFAULT));

    password_hash 生成的哈希长度是 PASSWORD_BCRYPT —— 60位,PASSWORD_DEFAULT —— 60位 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有关系,会等于其他值,但不影响使用。

    每一次 password_hash 运行结果都不一样,因此需要使用 password_verify 函数进行验证。

    1 $password = '123456';
2  
3 $hash = password_hash($password, PASSWORD_DEFAULT);
4 var_dump(password_verify($password, $hash));

    password_hash 会把计算 hash 的所有参数都存储在 hash 结果中,可以使用 password_get_info 获取相关信息。

    1 $password = '123456';
2 $hash = password_hash($password, PASSWORD_DEFAULT);
3 var_dump(password_get_info($hash));
    输出
array(3) {
  ["algo"]=>
  int(1)
  ["algoName"]=>
  string(6) "bcrypt"
  ["options"]=>
  array(1) {
    ["cost"]=>
    int(10)
  }
}
注意不包含 salt

      

    可以看出我当前版本的 PHP 使用 PASSWORD_DEFAULT 实际是使用 PASSWORD_BCRYPT。

    password_hash($password, $algo, $options) 的第三个参数 $options 支持设置至少 22 位的 salt。但仍然强烈推荐使用 PHP 默认生成的 salt,不要主动设置 salt。

    当要更新加密算法和加密选项时,可以通过 password_needs_rehash 判断是否需要重新加密,下面的代码是一段官方示例

     1 $options = array('cost' => 11);
 2 // Verify stored hash against plain-text password
 3 if (password_verify($password, $hash))
 4 {
 5     // Check if a newer hashing algorithm is available
 6     // or the cost has changed
 7     if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options))
 8     {
 9         // If so, create a new hash, and replace the old one
10         $newHash = password_hash($password, PASSWORD_DEFAULT, $options);
11     }
12     // Log user in
13 }

    password_needs_rehash 可以理解为比较 $algo + $option 和 password_get_info($hash) 返回值。

    password_hash 运算慢

    password_hash 是出了名的运行慢,也就意味着在相同时间内,密码重试次数少,泄露风险降低。

     1 $password = '123456';
 2 var_dump(microtime(true));
 3 var_dump(password_hash($password, PASSWORD_DEFAULT));
 4 var_dump(microtime(true));
 5  
 6 echo "
";
 7  
 8 var_dump(microtime(true));
 9 var_dump(md5($password));
10 for ($i = 0; $i < 999; $i++)
11 {
12     md5($password);
13 }
14 var_dump(microtime(true));
    输出
float(1495594920.7034)
string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm"
float(1495594920.7818)

float(1495594920.7818)
string(32) "e10adc3949ba59abbe56e057f20f883e"
float(1495594920.7823)

    password_hash 运行一次耗时 784 毫秒, md5 运行 1000 次耗时 5 毫秒。这是一个非常粗略的比较,跟运行机器有关,但也可以看出 password_hash 运行确实非常慢
  • 相关阅读:
    [BTS] The adapter "SQL" raised an error message. Details "新事务不能登记到指定的事务处理器中。 ".
    [BTS] 新事务不能登记到指定的事务处理器中
    [BTS] RFCTYPE RFCTYPE_DATE with length 8 and decimals 0
    [BTS]Could not find stored procedure.
    [BTS] SAP Adapter Retrieving the COM class factory for component
    [BTS]Unable to display adapter user interface.
    [BTS]BizTalk Performance Counters
    [BTS] Error in Check Transaction: 没有注册类 (异常来自 HRESULT:0x80040154 (REGDB_E_CLASSNOTREG))
    [BTS] 可能会经常用来参考的一段XSLT
    [BTS] Unable to communicate with MessageBox BizTalkMsgBoxDb on SQL Instance
  • 原文地址:https://www.cnblogs.com/dereckbu/p/8492956.html
Copyright © 2020-2023  润新知