php - PHP 的 password_hash() 的行为

Question

我一直在寻找加密密码以供我的面板使用的最佳方法，我决定继续使用 BCRYPT，这仅仅是因为每次加密的成本以及它通常被认为是目前最好的加密方法之一。当前时间。

我正在使用双向盐，所以每个用户都有一个独特的盐，然后显然是存储在我的应用程序中的盐，我注意到一些相当奇怪的行为..根据 PHP 文档，这种行为是正常的吗？

无论如何，这是我使用的代码：

$Crypto = new Crypto;
echo $Crypto->encrypt( "123456789abcdefghijklm", "StackOverflow_Is_Awesome!" ); // First parameter being the "User Salt", second being the password.

// Above outputs $2y$13$123456789abcdefghijkleepFY8JLvsf2YbnWolqQyO3DIzrCeNIu

现在，加密类：

<?php
// ASSUMING $this->hashingSalt = HBSNi3y7ruhbVGkhdg83ijdbvghiojkgudL;JP
class Crypto {

private $hashingSalt, $database;

public function __construct( $salt )
{
    $this->hashingSalt = $salt;
    $this->database = new DatabaseFunctions();
}

public function encrypt( $salt, $password )
{
    $options = array(
        'cost' => 13,
        'salt' => $salt //22 chars
    );

    return password_hash( $password . $this->hashingSalt, PASSWORD_BCRYPT, $options);
}
}

所以，我的兴趣是，为什么这个函数只是将选项中的盐集添加到输出字符串的开头？这真的令人费解......因为这并不完全是我所说的安全，而是击败了我的对象。

任何人都可以建议，尝试并解释我完全过去的事情吗？谢谢

PHP 文档： http: //php.net/manual/en/function.password-hash.php

score 5 · Accepted Answer

盐的存在是为了防止使用散列制作预先计算的表，一旦“坏人”掌握了散列，它并不意味着保持安全。

还有你在做什么：

然后显然是存储在我的应用程序中的盐

被称为辣椒（实际上并不那么明显）并且AFAIK尚未被证明更安全。有关更多信息，请阅读此博文（也是密码 API 的作者）：http ://blog.ircmaxell.com/2012/04/properly-salting-passwords-case-against.html

另请注意，您调用的方法encrypt并未加密任何内容。加密有两种方式。你在做什么被称为散列：https ://stackoverflow.com/a/4948393/508666

php - PHP 的 password_hash() 的行为

1 回答 1

Related

Reference