Hash -Funktionen verstehen und Passwörter sicher halten

Das Schutz von Benutzerkennwörtern ist von entscheidender Bedeutung, insbesondere angesichts des Risikos von Server- und Datenbankverletzungen. In diesem Artikel wird die Grundlagen des Hashing und seine Rolle bei der Sicherung von Passwörtern in Webanwendungen untersucht. Für diejenigen, die eine schnelle PHP -Lösung suchen, ist die md5() -Funktion häufig, aber nicht die sicherste Option. md5() erzeugt unabhängig von der Eingangslänge konsistent feste Hashes mit fester Länge, wobei die Einweg-Natur hervorgehoben wird.

$data = "Hello World";
$hash = md5($data);
echo $hash; // b10a8db164e0754105b7a99be72e3fe5

Hashing für Kennwortspeicher

verwenden

Die typischen Benutzerregistrierungs- und Anmeldungsprozesse verwenden Hashing wie folgt:

Registrierung:

1. Benutzer geben Registrierungsdetails an, einschließlich ihres Passworts.
2. Das Webskript speichert diese Daten in einer Datenbank.
3. entscheidend ist, dass das Passwort vor Speicher
hashed ist.
Das ursprüngliche Passwort wird verworfen; Nur der Hash wird beibehalten.

Login:

Benutzer geben ihren Benutzernamen/ihre E -Mail und ihr Passwort ein.
Das Skript hasste das eingegebene Passwort.
Das Skript ruft das gespeicherte Hashed -Passwort aus der Datenbank ab.
Ein Vergleich erfolgt; Der Zugang wird nur dann gewährt, wenn der Hashes übereinstimmt.

Das ursprüngliche Passwort wird nie gespeichert, wodurch ein Kompromiss im Falle einer Datenbankverletzung anscheinend verhindert wird. Dies ist jedoch eine zu vereinfachte. Lassen Sie uns potenzielle Schwachstellen untersuchen.

Sicherheitsherausforderungen

1. Hash -Kollisionen: crc32() Eine Kollision tritt auf, wenn verschiedene Eingaben denselben Hash erzeugen. Die Wahrscheinlichkeit hängt vom Hashing -Algorithmus ab. Ältere Skripte, die crc32() (ein 32-Bit-Hash) verwenden, sind besonders anfällig, da die begrenzte Anzahl möglicher Ausgänge das Auffinden von Kollisionen möglich macht. Ein Brute-Force-Skript könnte alternative Passwörter erzeugen, die den gleichen

Hash wie ein gestohlenes Erstellen eines.

2. Regenbogentabellen:

Selbst mit kollisionsresistenten Algorithmen stellen Vorbereitungen Regenbogentabellen mit Hashes gemeinsamer Passwörter und Variationen eine erhebliche Bedrohung dar. Diese Tabellen können schnell Kennwörter aufzeigen, die gestohlenen Hashes entsprechen.

3. Salzminderung:

Hinzufügen einer "Salz" (eine zufällige Saite) zum Passwort vor dem Hashing hilft, Regenbogentischangriffe zu verhindern. Wenn das Salz jedoch in den Benutzern konsistent ist und gestohlen wird, kann eine neue Regenbogentabelle erzeugt werden, die diesen Schutz negiert.

4. Einzigartige Salze: Verwenden eines eindeutigen

Salz für jeden Benutzer (z. B. die Benutzer -ID oder eine zufällig generierte Zeichenfolge, die mit den Daten des Benutzers gespeichert ist) erheblich stärken die Sicherheit, was es unpraktisch macht, effektive Regenbogentabellen zu erstellen. < 🎜>

5. Hashing-Geschwindigkeit: schnelle Hashing-Algorithmen sind anfällig für Brute-Force-Angriffe, bei denen Angreifer zahlreiche Passwortkombinationen versuchen. Auch 8-Charakter-Passwörter können relativ schnell mit leistungsstarker Hardware geknackt werden.

Schwachstellen der Hashing -Geschwindigkeit:

Verwendung langsamer Hashing-Algorithmen oder solchen mit einstellbaren "Kostenparametern" (wie Blowfish) erhöht die für die Brute-Force-Angriffe erforderliche Zeit erheblich. Die crypt() -Funktion in PHP unterstützt Blowfish, sodass Sie die Anzahl der Iterationen steuern können.

$data = "Hello World";
$hash = md5($data);
echo $hash; // b10a8db164e0754105b7a99be72e3fe5

Der Teil '$ 2a $ 10 $' gibt den Blowfish -Algorithmus und einen Kostenparameter von 10 (2^10 Iterationen) an.

.

Eine sichere Passwort -Hashing -Klasse

Diese Klasse enthält die besprochenen Best Practices:

function myhash($password, $unique_salt) {
    return crypt($password, 'a$' . $unique_salt);
}

password_hash() Verwenden Sie (Php 5.5)

Die integrierte password_hash() -Funktion von PHP vereinfacht das Hashing des sicheren Kennworts. Es erzeugt automatisch kryptografisch sichere Salze und behandelt Algorithmus -Upgrades.

class PassHash {
    private static $algo = 'a';
    private static $cost = '';

    public static function unique_salt() {
        return substr(sha1(mt_rand()), 0, 22);
    }

    public static function hash($password) {
        return crypt($password, self::$algo . self::$cost . '$' . self::unique_salt());
    }

    public static function check_password($hash, $password) {
        $full_salt = substr($hash, 0, 29);
        $new_hash = crypt($password, $full_salt);
        return ($hash == $new_hash);
    }
}

Schlussfolgerung

kombiniert robuste Hashing -Techniken mit starken Kennwortrichtlinien (Mindestlänge, Charaktervielfalt) bietet einen umfassenden Ansatz für die Kennwortsicherheit in Webanwendungen. Denken Sie daran, immer Benutzerdatenschutz zu priorisieren.

Das obige ist der detaillierte Inhalt vonHash -Funktionen verstehen und Passwörter sicher halten. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!