PHP更安全的密码加密机制Bcrypt详解
前⾔
我们常常为了避免在服务器受到攻击,数据库被拖库时,⽤户的明⽂密码不被泄露,⼀般会对密码进⾏单向不可逆加密——哈希。
常见的⽅式是:
哈希⽅式加密密码
md5(‘123456')e10adc3949ba59abbe56e057f20f883e
md5(‘123456' . ($salt = ‘salt'))207acd61a3c1bd506d7e9a4535359f8a
php实例代码详解sha1(‘123456')40位密⽂
hash(‘sha256', ‘123456')64位密⽂
hash(‘sha512', ‘123456')128位密⽂
密⽂越长,在相同机器上,进⾏撞库消耗的时间越长,相对越安全。
⽐较常见的哈希⽅式是 md5 + 盐,避免⽤户设置简单密码,被轻松破解。
password_hash
但是,现在要推荐的是password_hash()函数,可以轻松对密码实现加盐加密,⽽且⼏乎不能破解。
$password = '123456';
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(password_hash($password, PASSWORD_DEFAULT));
password_hash⽣成的哈希长度是 PASSWORD_BCRYPT —— 60位,PASSWORD_DEFAULT —— 60位 ~ 255位。PASSWORD_DEFAULT 取值跟 php 版本有关系,会等于其他值,但不影响使⽤。
每⼀次password_hash运⾏结果都不⼀样,因此需要使⽤password_verify函数进⾏验证。
$password = '123456';
$hash = password_hash($password, PASSWORD_DEFAULT);
var_dump(password_verify($password, $hash));
password_hash会把计算 hash 的所有参数都存储在 hash 结果中,可以使⽤password_get_info获取相关信息。
$password = '123456';
$hash = password_hash($password, PASSWORD_DEFAULT);
var_dump(password_get_info($hash));
输出
array(3) {
["algo"]=>
int(1)
["algoName"]=>
string(6) "bcrypt"
["options"]=>
array(1) {
["cost"]=>
int(10)
}
}
注意:不包含 salt
可以看出我当前版本的 PHP 使⽤PASSWORD_DEFAULT实际是使⽤PASSWORD_BCRYPT。
password_hash($password, $algo, $options) 的第三个参数$options ⽀持设置⾄少 22 位的 salt。但仍然强烈推荐使⽤ PHP 默认⽣成的salt,不要主动设置 salt。
当要更新加密算法和加密选项时,可以通过 password_needs_rehash 判断是否需要重新加密,下⾯的代码是⼀段官⽅⽰例
$options = array('cost' => 11);
// Verify stored hash against plain-text password
if (password_verify($password, $hash))
{
// Check if a newer hashing algorithm is available
// or the cost has changed
if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options))
{
// If so, create a new hash, and replace the old one
$newHash = password_hash($password, PASSWORD_DEFAULT, $options);
}
// Log user in
}
password_needs_rehash可以理解为⽐较$algo + $option和password_get_info($hash) 返回值。
password_hash 运算慢
password_hash是出了名的运⾏慢,也就意味着在相同时间内,密码重试次数少,泄露风险降低。
$password = '123456';
var_dump(microtime(true));
var_dump(password_hash($password, PASSWORD_DEFAULT));
var_dump(microtime(true));
echo "\n";
var_dump(microtime(true));
var_dump(md5($password));
for ($i = 0; $i < 999; $i++)
{
md5($password);
}
var_dump(microtime(true));
输出
float(1495594920.7034)
string(60) "$2y$10$9ZLvgzqmiZPEkYiIUchT6eUJqebekOAjFQO8/jW/Q6DMrmWNn0PDm"
float(1495594920.7818)
float(1495594920.7818)
string(32) "e10adc3949ba59abbe56e057f20f883e"
float(1495594920.7823)
password_hash运⾏⼀次耗时 784 毫秒, md5 运⾏ 1000 次耗时 5 毫秒。这是⼀个⾮常粗略的⽐较,跟运⾏机器有关,但也可以看出password_hash运⾏确实⾮常慢。
总结
以上就是这篇⽂章的全部内容了,希望本⽂的内容对⼤家的学习或者⼯作能带来⼀定的帮助,如果有疑问⼤家可以留⾔交流,谢谢⼤家对的⽀持。
版权声明:本站内容均来自互联网,仅供演示用,请勿用于商业和其他非法用途。如果侵犯了您的权益请与我们联系QQ:729038198,我们将在24小时内删除。
发表评论