3

Crypt 正在使用相同的输入数据生成不同的散列,并且 [以下] 以前的功能散列生成器/检查不再适用于验证用户:

public static function blowfish($password, $storedpass = false) {
    //if encrypted data is passed, check it against input ($info) 
      if ($storedpass) { 
            if (substr($storedpass, 0, 60) == crypt($password, "$2y$08$".substr($storedpass, 60))) { 
                return true; 
            }  else { 
                return false; 
            } 
      }  else { 
          //make a salt and hash it with input, and add salt to end 
          $salt = ""; 
          for ($i = 0; $i < 22; $i++) { 
            $salt .= substr("./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789", mt_rand(0, 63), 1); 
          } 
          //return 82 char string (60 char hash & 22 char salt) 
          return crypt($password, "$2y$08$".$salt).$salt; 
     }
}

我把头撞在墙上,没有找到 Zend 内部算法与 PHP 与操作系统算法之间差异的答案;或 PHP 5.3.8 与早期版本之间的变化......

编辑:我的问题在技术上得到了回答,这是我的错,我没有正确提问。我已经实现:

$salt = substr(bin2hex(openssl_random_pseudo_bytes(22)), 0, 22);
          //for ($i = 0; $i < 22; $i++) { 
            //$salt .= substr("./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789", mt_rand(0, 63), 1); 
          //}

我真正的问题是;为什么以下函数返回不同?

print(substr($storedpass, 0, 60)."<br />");

回报:$2y$08$43f053b1538df81054d4cOJyrO5/j7NtZBCw6LrFof29cLBs7giK6

print(crypt($password, "$2a$08$".substr($storedpass, 60)));

返回:$2a$08$43f053b1538df81054d4cOPSGh/LMc0PZx6RC6PlXOSc61BKq/F6。

4

1 回答 1

1

因为您是在salt随机数的帮助下创建的,

该函数mt_rand()将在您每次调用时创建随机数,可选择使用 min、max 参数。通常对于强加密密码散列,Salt 应该使用加密安全伪随机数生成器 (CSPRNG) 生成。

然后来到你的问题,我假设ZEND和php之间的算法没有区别。因为zend是一个围绕php核心的框架,并且可以利用它。

要验证密码,crypt检查是如何工作的

crypt($password, $stored_hash) == $stored_hash;

一旦你在第一次散列时存储了散列,就很容易验证。

这就是这里实际发生的情况,如果您将散列作为第二个参数传递给函数 blowfish,它将通过 bool 值返回验证,而不管盐值如何。

if (substr($storedpass, 0, 60) == crypt($password, "$2y$08$".substr($storedpass, 60))) { 
    return true; 
}  else { 
    return false; 
}

有关散列和安全性的信息,请阅读

希望这可以帮助

于 2012-08-15T17:59:56.483 回答