Sollte ich Benutzerkennwörter vor dem Hashing bereinigen?

Bereinigung von Benutzerkennwörtern: Ein umfassender Leitfaden

Bei der Vorbereitung von vom Benutzer bereitgestellten Kennwörtern für die Speicherung in einer Datenbank ist es verlockend, Bereinigung oder Escape anzuwenden Mechanismen. Dieser Ansatz ist jedoch oft kontraproduktiv und unnötig, insbesondere wenn die PHP-Funktion „password_hash()“ für das Passwort-Hashing verwendet wird.

Warum eine Bereinigung für gehashte Passwörter nicht erforderlich ist

Hashing eines Passworts wandelt es in eine Form um, die nicht einfach rückgängig gemacht oder für SQL-Injection-Angriffe verwendet werden kann. Die Hashing-Funktion misst bestimmten Bytes innerhalb der Eingabe keine besondere Bedeutung bei, sodass eine Bereinigung aus Sicherheitsgründen nicht erforderlich ist.

Dadurch, dass Benutzer beliebige Passwörter und Phrasen, einschließlich Leerzeichen und Sonderzeichen, verwenden können, wird die Sicherheit des gehashten Passworts gewährleistet . PASSWORD_BCRYPT, der Standard-Hashing-Algorithmus in password_hash(), erzeugt eine 60-stellige Zeichenfolge, die aus einem zufälligen Salt, gehashten Passwortinformationen und einem Kostenparameter besteht.

Auswirkungen der Bereinigung auf Passwort-Hashes

Verschiedene Desinfektionsmethoden können sehr unterschiedliche Auswirkungen auf Passwörter haben. Betrachten Sie das Passwort „Ich bin ein „Dessertbelag“ und ein !“.

• trim(): Entfernt nachgestellte Leerzeichen, was zum Verlust von führt fünf Leerzeichen am Ende.
• htmlentities(): Ändert doppelte Anführungszeichen, kaufmännische Und-Zeichen und geschweifte Klammern in HTML-Entitäten, die das Erscheinungsbild des Passworts ändern, jedoch nicht seinen Hash-Wert.
• htmlspecialchars(): Ähnlich wie htmlentities(), betrifft jedoch alle HTML-Sonderzeichen.
• addslashes(): Fügt bestimmten Zeichen Escape-Zeichen voran, die später das Passwort beeinträchtigen Überprüfung.
• strip_tags(): Entfernt HTML-Tags, was zum Verlust des Bohnerwachstextes führt.

Konsequenzen der Passwortbereinigung

Der Einsatz dieser Reinigungsmethoden führt zu unnötiger Komplexität. Beim Versuch, das Passwort zu verifizieren, muss die gleiche Bereinigungsmethode erneut auf das gepostete Passwort angewendet werden, bevor „password_verify()“ verwendet wird. Andernfalls führt dies zu Verifizierungsfehlern.

Wenn „password_hash()“ verwendet wird, bietet die Bereinigung keine zusätzliche Sicherheit und verkompliziert nur den Prozess.

Alternative Lösungen

Anstatt Benutzerpasswörter zu bereinigen, sollten Sie Folgendes in Betracht ziehen:

• Verwenden Sie PHPs Funktion „password_hash()“ mit dem Algorithmus PASSWORD_BCRYPT für zuverlässiges Passwort-Hashing.
• Vermeiden Sie die Verwendung von MD5-Passwort-Hashes, da diese anfällig für Brute-Force-Angriffe sind.
• Implementieren Sie eine Passwortrichtlinie, die sichere Passwörter fördert.
• Überwachen Sie Ihre Datenbank regelmäßig auf kompromittierte Passwörter und ergreifen Sie gegebenenfalls entsprechende Maßnahmen notwendig.

Das obige ist der detaillierte Inhalt vonSollte ich Benutzerkennwörter vor dem Hashing bereinigen?. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!