[php] Kodowanie haseł za pomocą password_hash() O czym należy pamiętać. |
[php] Kodowanie haseł za pomocą password_hash() O czym należy pamiętać. |
7.02.2020, 18:41:28
Post
#1
|
|
Grupa: Zarejestrowani Postów: 190 Pomógł: 0 Dołączył: 25.11.2015 Ostrzeżenie: (0%) |
Witam.
Ostatnio troszeczke wziąłem się za sprawe bezpieczeństwa. Używam następującej funkcji do kodowania haseł:
Czy takie użycie funkcji jest poprawne? W manualu jest np parametr 'PASSWORD_DEFAULT' widziałem też w różnych kodach jak podawali jako drugi parametr tzw salt. --- Edit --- Jeżeli hasła mam już hashowane w sposób jaki podałem to już nic nie powinienem zmieniac? Ten post edytował luis2luis 7.02.2020, 19:38:55 |
|
|
8.02.2020, 10:00:48
Post
#2
|
|
Grupa: Zarejestrowani Postów: 1 834 Pomógł: 225 Dołączył: 20.03.2005 Skąd: Będzin Ostrzeżenie: (0%) |
Jeżeli chodzi o sól to bardzo fajnie wytłumaczone jest tutaj: https://auth0.com/blog/adding-salt-to-hashi...tore-passwords/
W skrócie: |
|
|
8.02.2020, 10:12:53
Post
#3
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
A widziałeś
Warning The salt option has been deprecated as of PHP 7.0.0. It is now preferred to simply use the salt that is generated by default. -------------------- |
|
|
8.02.2020, 15:10:18
Post
#4
|
|
Grupa: Zarejestrowani Postów: 190 Pomógł: 0 Dołączył: 25.11.2015 Ostrzeżenie: (0%) |
A widziałeś Warning The salt option has been deprecated as of PHP 7.0.0. It is now preferred to simply use the salt that is generated by default. Nie próbowałem wywołać tej funkcji z Salt. W takim razie z SALT rezygnujemy. "that is generated by default." czyli optymalnie byłoby użyć parametru PASSWORD_DEFAULT ? |
|
|
8.02.2020, 15:13:53
Post
#5
|
|
Grupa: Zarejestrowani Postów: 6 365 Pomógł: 1114 Dołączył: 30.08.2006 Ostrzeżenie: (0%) |
Czyli znaczy to że jak użyjesz default a w przyszłości zamienia algorytm na argon to żaden użytkownik ci się nie zaloguje. Powinieneś mieć kontrolę nad tym.
-------------------- |
|
|
8.02.2020, 17:23:20
Post
#6
|
|
Grupa: Zarejestrowani Postów: 2 592 Pomógł: 445 Dołączył: 12.03.2007 Ostrzeżenie: (0%) |
W nowszych wersjach rekomendowany jest argon2 ale możesz używać auto, wtedy PHP samo wybierze najlepszy dostępny w systemie algorytm.
-------------------- |
|
|
8.02.2020, 19:22:51
Post
#7
|
|
Grupa: Zarejestrowani Postów: 190 Pomógł: 0 Dołączył: 25.11.2015 Ostrzeżenie: (0%) |
|
|
|
9.02.2020, 20:13:41
Post
#8
|
|
Grupa: Zarejestrowani Postów: 1 834 Pomógł: 225 Dołączył: 20.03.2005 Skąd: Będzin Ostrzeżenie: (0%) |
Ja osobiście także polecam Argon2, ale jak już stwórz sobie system zmiany systemu hashowania.
|
|
|
10.02.2020, 09:54:24
Post
#9
|
|
Grupa: Zarejestrowani Postów: 190 Pomógł: 0 Dołączył: 25.11.2015 Ostrzeżenie: (0%) |
|
|
|
Wersja Lo-Fi | Aktualny czas: 19.04.2024 - 04:11 |