Tun Sie sich selbst einen Gefallen und verwenden Sie eine Standardbibliothek zum Hashen Ihrer Passwörter.
Da Sicherheit in der Regel viel komplizierter ist und mehr unsichtbare Fehlermöglichkeiten bietet, als die meisten Programmierer alleine bewältigen könnten, ist die Verwendung einer Standardbibliothek fast immer die einfachste und sicherste (wenn nicht die einzige) verfügbare Option.
Die Standardbibliothek :
Sehen Sie sich Folgendes an:Portables PHP-Passwort-Hashing-Framework
:phpass und stellen Sie sicher, dass Sie CRYPT_BLOWFISH verwenden Algorithmus, wenn überhaupt möglich.
Beispielcode mit phpass (v0.2):
require('PasswordHash.php');
$pwdHasher = new PasswordHash(8, FALSE);
// $hash is what you would store in your database
$hash = $pwdHasher->HashPassword( $password );
// $hash would be the $hashed stored in your database for this user
$checked = $pwdHasher->CheckPassword($password, $hash);
if ($checked) {
echo 'password correct';
} else {
echo 'wrong credentials';
}
PHPass wurde in einigen recht bekannten Projekten implementiert:
- phpBB3
- WordPress 2.5+ sowie bbPress
- die Version von Drupal 7, (Modul verfügbar für Drupal 5 &6)
- andere
Das Gute daran ist, dass Sie sich nicht um die Details kümmern müssen, diese Details wurden von Leuten mit Erfahrung programmiert und von vielen Leuten im Internet überprüft.
Was auch immer Sie tun, wenn Sie sich für das 'Ich mache es selbst, danke entscheiden '-Ansatz, verwenden Sie MD5 nicht mehr . Es ist ein netter Hashing-Algorithmus, aber aus Sicherheitsgründen völlig kaputt .
Derzeit wird crypt
verwendet , mit CRYPT_BLOWFISH ist die beste Vorgehensweise.
CRYPT_BLOWFISH in PHP ist eine Implementierung des Bcrypt-Hash. Bcrypt basiert auf der Blowfish-Blockchiffre und nutzt deren teure Schlüsseleinrichtung, um den Algorithmus zu verlangsamen.
Weitere Informationen zu Passwortspeicherschemata finden Sie auch unter Jeff `s Blogbeitrag dazu:Sie speichern Passwörter wahrscheinlich falsch
