Witaj Gościu! ( Zaloguj | Rejestruj )

Forum PHP.pl

 
Reply to this topicStart new topic
> [php] Kodowanie haseł za pomocą password_hash() O czym należy pamiętać.
luis2luis
post 7.02.2020, 18:41:28
Post #1





Grupa: Zarejestrowani
Postów: 190
Pomógł: 0
Dołączył: 25.11.2015

Ostrzeżenie: (0%)
-----


Witam.

Ostatnio troszeczke wziąłem się za sprawe bezpieczeństwa.

Używam następującej funkcji do kodowania haseł:

  1. password_hash($_POST['pass'], PASSWORD_BCRYPT);


Czy takie użycie funkcji jest poprawne?

W manualu jest np parametr 'PASSWORD_DEFAULT' widziałem też w różnych kodach jak podawali jako drugi parametr tzw salt.

--- Edit ---
Jeżeli hasła mam już hashowane w sposób jaki podałem to już nic nie powinienem zmieniac?

Ten post edytował luis2luis 7.02.2020, 19:38:55
Go to the top of the page
+Quote Post
Tomplus
post 8.02.2020, 10:00:48
Post #2





Grupa: Zarejestrowani
Postów: 1 828
Pomógł: 225
Dołączył: 20.03.2005
Skąd: Będzin

Ostrzeżenie: (0%)
-----


Jeżeli chodzi o sól to bardzo fajnie wytłumaczone jest tutaj: https://auth0.com/blog/adding-salt-to-hashi...tore-passwords/

W skrócie:




Go to the top of the page
+Quote Post
viking
post 8.02.2020, 10:12:53
Post #3





Grupa: Zarejestrowani
Postów: 6 365
Pomógł: 1114
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----


A widziałeś
Warning
The salt option has been deprecated as of PHP 7.0.0. It is now preferred to simply use the salt that is generated by default.


--------------------
Go to the top of the page
+Quote Post
luis2luis
post 8.02.2020, 15:10:18
Post #4





Grupa: Zarejestrowani
Postów: 190
Pomógł: 0
Dołączył: 25.11.2015

Ostrzeżenie: (0%)
-----


Cytat(viking @ 8.02.2020, 10:12:53 ) *
A widziałeś
Warning
The salt option has been deprecated as of PHP 7.0.0. It is now preferred to simply use the salt that is generated by default.

Nie próbowałem wywołać tej funkcji z Salt. W takim razie z SALT rezygnujemy.

"that is generated by default." czyli optymalnie byłoby użyć parametru PASSWORD_DEFAULT ?



Go to the top of the page
+Quote Post
viking
post 8.02.2020, 15:13:53
Post #5





Grupa: Zarejestrowani
Postów: 6 365
Pomógł: 1114
Dołączył: 30.08.2006

Ostrzeżenie: (0%)
-----


Czyli znaczy to że jak użyjesz default a w przyszłości zamienia algorytm na argon to żaden użytkownik ci się nie zaloguje. Powinieneś mieć kontrolę nad tym.


--------------------
Go to the top of the page
+Quote Post
vokiel
post 8.02.2020, 17:23:20
Post #6





Grupa: Zarejestrowani
Postów: 2 592
Pomógł: 445
Dołączył: 12.03.2007

Ostrzeżenie: (0%)
-----


W nowszych wersjach rekomendowany jest argon2 ale możesz używać auto, wtedy PHP samo wybierze najlepszy dostępny w systemie algorytm.


--------------------
Go to the top of the page
+Quote Post
luis2luis
post 8.02.2020, 19:22:51
Post #7





Grupa: Zarejestrowani
Postów: 190
Pomógł: 0
Dołączył: 25.11.2015

Ostrzeżenie: (0%)
-----


Cytat(vokiel @ 8.02.2020, 17:23:20 ) *
W nowszych wersjach rekomendowany jest argon2 ale możesz używać auto, wtedy PHP samo wybierze najlepszy dostępny w systemie algorytm.


Auto nie chce, muszę zdecydować sięna jeden rodzaj.

Obecnie mam PASSWORD_BCRYPT i zostane przy tym w takim razie.
Go to the top of the page
+Quote Post
Tomplus
post 9.02.2020, 20:13:41
Post #8





Grupa: Zarejestrowani
Postów: 1 828
Pomógł: 225
Dołączył: 20.03.2005
Skąd: Będzin

Ostrzeżenie: (0%)
-----


Ja osobiście także polecam Argon2, ale jak już stwórz sobie system zmiany systemu hashowania.
Go to the top of the page
+Quote Post
luis2luis
post 10.02.2020, 09:54:24
Post #9





Grupa: Zarejestrowani
Postów: 190
Pomógł: 0
Dołączył: 25.11.2015

Ostrzeżenie: (0%)
-----


Cytat(Tomplus @ 9.02.2020, 20:13:41 ) *
Ja osobiście także polecam Argon2, ale jak już stwórz sobie system zmiany systemu hashowania.

Miałem jużcoś takiego. Że weryfikowałem nnowym mechanizmem i starym. i jak weryfikacja starym była ok wtedy zapisywałem w bazie zmienione już nowym sposobem.
Go to the top of the page
+Quote Post

Reply to this topicStart new topic
1 Użytkowników czyta ten temat (1 Gości i 0 Anonimowych użytkowników)
0 Zarejestrowanych:

 



RSS Wersja Lo-Fi Aktualny czas: 28.03.2024 - 23:48