Memahami fungsi hash dan menjaga kata laluan dengan selamat

Melindungi kata laluan pengguna adalah penting, terutamanya memandangkan risiko pelanggaran pelayan dan pangkalan data. Artikel ini meneroka asas -asas hashing dan peranannya dalam mendapatkan kata laluan dalam aplikasi web. Bagi mereka yang mencari penyelesaian PHP yang cepat, fungsi

adalah pilihan yang sama, walaupun bukan pilihan yang paling selamat. md5() secara konsisten menghasilkan hash tetap panjang, tanpa mengira panjang input, menonjolkan sifat sehala. md5()

$data = "Hello World";
$hash = md5($data);
echo $hash; // b10a8db164e0754105b7a99be72e3fe5

menggunakan hashing untuk penyimpanan kata laluan

Proses pendaftaran dan log masuk pengguna biasa menggunakan hashing adalah seperti berikut:

Pendaftaran:

Pengguna memberikan butiran pendaftaran, termasuk kata laluan mereka.
skrip web menyimpan data ini dalam pangkalan data.
secara kronik, kata laluan adalah hashed
3. sebelum penyimpanan.
Kata laluan asal dibuang; Hanya hash yang dikekalkan.

Login:

Pengguna memasukkan nama pengguna/e -mel dan kata laluan mereka.
skrip hassa kata laluan yang dimasukkan.
skrip mengambil kata laluan hashed yang disimpan dari pangkalan data.
Perbandingan dibuat; Akses diberikan hanya jika padanan hash.

Kata laluan asal tidak pernah disimpan, seolah -olah menghalang kompromi dalam hal pelanggaran pangkalan data. Walau bagaimanapun, ini adalah oversimplification. Mari kita periksa potensi kelemahan.

Cabaran Keselamatan

1. Perlanggaran Hash: Perlanggaran berlaku apabila input yang berbeza menghasilkan hash yang sama. Kebarangkalian bergantung kepada algoritma hashing. Skrip lama yang menggunakan (hash 32-bit) sangat terdedah kerana bilangan output yang mungkin menjadikan penemuan perlanggaran boleh dilaksanakan. Skrip kekerasan dapat menghasilkan kata laluan alternatif yang menghasilkan hash yang sama sebagai yang dicuri. crc32() crc32()

2. Jadual Rainbow:

Walaupun dengan algoritma tahan perlanggaran, jadual pelangi pra-komput yang mengandungi hash kata laluan dan variasi yang biasa menimbulkan ancaman yang ketara. Jadual -jadual ini dapat dengan cepat mendedahkan kata laluan yang sepadan dengan hash yang dicuri.

3. Mitigasi garam:

Menambah "garam" (rentetan rawak) ke kata laluan sebelum hashing membantu mencegah serangan meja pelangi. Walau bagaimanapun, jika garam konsisten merentasi pengguna dan dicuri, meja pelangi baru boleh dihasilkan, menafikan perlindungan ini.

4. Garam yang unik:

Menggunakan garam unik untuk setiap pengguna (mis., ID pengguna atau rentetan yang dijana secara rawak yang disimpan dengan data pengguna) dengan ketara menguatkan keselamatan, menjadikannya tidak praktikal untuk membuat jadual pelangi yang berkesan.

5. Kelajuan Hashing: Algoritma Hashing cepat terdedah kepada serangan kekerasan, di mana penyerang mencuba banyak kombinasi kata laluan. Malah kata laluan 8 aksara boleh retak dengan cepat dengan perkakasan yang kuat.

Mengurangkan kelemahan kelajuan hashing:

Menggunakan algoritma hash yang lebih perlahan atau mereka yang mempunyai "parameter kos" laras (seperti blowfish) dengan ketara meningkatkan masa yang diperlukan untuk serangan kekerasan. Fungsi crypt() dalam PHP menyokong blowfish, membolehkan anda mengawal bilangan lelaran.

$data = "Hello World";
$hash = md5($data);
echo $hash; // b10a8db164e0754105b7a99be72e3fe5

bahagian '$ 2a $ 10 $' menentukan algoritma blowfish dan parameter kos 10 (2^10 lelaran).

kelas hashing kata laluan selamat

Kelas ini menggabungkan amalan terbaik yang dibincangkan:

function myhash($password, $unique_salt) {
    return crypt($password, 'a$' . $unique_salt);
}

menggunakan password_hash() (Php 5.5)

fungsi terbina dalam password_hash() PHP memudahkan hashing kata laluan yang selamat. Ia secara automatik menjana garam kriptografi dan mengendalikan peningkatan algoritma.

class PassHash {
    private static $algo = 'a';
    private static $cost = '';

    public static function unique_salt() {
        return substr(sha1(mt_rand()), 0, 22);
    }

    public static function hash($password) {
        return crypt($password, self::$algo . self::$cost . '$' . self::unique_salt());
    }

    public static function check_password($hash, $password) {
        $full_salt = substr($hash, 0, 29);
        $new_hash = crypt($password, $full_salt);
        return ($hash == $new_hash);
    }
}

Kesimpulan

Menggabungkan teknik hashing yang mantap dengan dasar kata laluan yang kuat (panjang minimum, pelbagai watak) memberikan pendekatan yang komprehensif untuk keselamatan kata laluan dalam aplikasi web. Ingatlah untuk sentiasa mengutamakan perlindungan data pengguna.

Atas ialah kandungan terperinci Memahami fungsi hash dan menjaga kata laluan dengan selamat. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!