我目前正试图了解哈希和盐.据我了解,如果我只有密码和生成的哈希(用随机盐的生成)生成,则不应该验证密码.
那么,如果我不给它盐,那么PHP中的password_verify函数如何验证我的密码呢?在后台是否有一个隐藏变量,它存储它用于php散列函数?
如果是这样,怎么可能
doveadm pw -t '{SHA512-CRYPT}$6$myhash...' -p "qwertz"
验证它,即使我在完全不同的计算机上运行它?这是Dovecot(MDA)附带的工具.
这是我的PHP代码,它创建一个包含64个字符的随机盐,将它与密码组合,创建一个哈希并通过password_verify()验证哈希.
我今天刚刚开始研究整个哈希/盐/胡椒的事情,所以在我的整个思路中可能存在一个巨大的缺陷.
<?php
$password = "qwertz";
$salt = createSalt(64);
$hash = crypt($password, "$6$$salt");
if (password_verify($password, $hash)) {
echo 'Password is valid!';
} else {
echo 'Invalid password.';
}
function createSalt($length){
$chars = "IrhsYyLofUKj4caz0FDBCe2W9NRunTgQvp7qOXmS5GM3EJV6i8tAHdkPbxwl1Z";
$salt="";
for($i=0; $i < $length; $i++){
$newchar = substr($chars, rand(0,strlen($chars)-1),1);
$salt .= $newchar;
}
return $salt;
}
?>
解决方法:
哈希包含几条信息.这个article解释了Unix使用的格式,但我相信PHP密码函数使用类似的格式(如果不相同):
The hash field itself is comprised of three different fields. They are
separated by ‘$’ and represent:
- Some characters which represents the cryptographic hashing mechanism used to generate the actual hash
- A randomly generated salt to safeguard against rainbow table attacks
- The hash which results from joining the users password with the stored salt and running it through the hashing mechanism specified in
the first field
它还可以包括用于生成哈希的精确的每算法选项,例如算法成本:
var_dump(password_hash('foo', PASSWORD_BCRYPT, [
'cost' => 8,
]));
06001
这里$2y $08 $意味着使用了成本为8的Bcrypt.
如果我们使用PHP / 7.2中提供的更新的Argon2,那么还有更多的参数:
$argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0
标签:verify,php,hash,salt 来源: https://codeday.me/bug/20190823/1698004.html
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。