DingsDaBums
Mitglied
Exzellenter User
Dabei seit: 12.09.2010
Herkunft: keine Angabe
Posts: 2496
|
Eine API zum sicheren Abspeichern von Passwörtern.
Moin zusammen!
Ich hatte ein wenig Langweile und hab mir gedacht, ich schreibe einfach mal zwei kleine Funktionen, die an die neue Passwort-API von PHP 5.5 angelehnt ist (deswegen auch die umgedrehten Funktionsnamen).
Es ging mir darum, dass sehr sehr viele Hoster zwar 5.1.2 oder ein wenig höher unterstützen, aber selten 5.3.7 und höher, was aber erforderlich ist, um die neue Passwort-API bzw. die Übergangsfunktionen für 5.3.7+ nutzen zu können.
Hier sind die zwei Funktionen:
| PHP |
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
15:
16:
17:
18:
19:
20:
21:
22:
23:
24:
25:
26:
27:
28:
29:
30:
31:
32:
33:
34:
35:
36:
37:
38:
39:
40:
41:
42:
|
<?php
function hash_password($password, $algo = 'sha256', $rounds = 20)
{
if( function_exists('openssl_random_pseudo_bytes') )
{
$salt = bin2hex(openssl_random_pseudo_bytes(6));
}
else
{
$salt = substr(str_shuffle(sha1(mt_rand(0,9999).microtime(true).mt_rand(0,9999))), mt_rand(0,12), 12);
}
$hash = $password;
for($i=0; $i < $rounds; $i++)
{
$hash = hash($algo, $salt.$hash);
}
return $algo.'$'.$rounds.'$'.$salt.'$'.$hash;
}
function verify_password($password, $hash)
{
$options = explode('$', $hash);
if(count($options) != 4)
{
return false;
}
$password_hash = $password;
for($i=0; $i < $options[1]; $i++)
{
$password_hash = hash($options[0], $options[2].$password_hash);
}
return ($options[3] === $password_hash);
}
|
|
In diesem Fall habe ich standardmäßig mal den Algorithmus sha251 ausgewählt und die Runden auf 20 gesetzt. Beides kann man ganz leicht über das abändern der Standardwerten der Parameter der hash_password Funktion einstellen.
Das ist sogar dann noch möglich, wenn es bereits Passwörter gibt, die mit dieser Funktion gehasht wurden, da die nötigen Informationen im endgültigen String/Hash enthalten sind.
So kann man z.B. mit der Zeit die Rundenanzahl (rounds) ein wenig nach oben schrauben oder einen sichereren Algorithmus zum Hashen wählen.
Die Verwendung ist recht einfach:
| PHP |
1:
2:
3:
4:
5:
6:
7:
8:
9:
10:
11:
12:
13:
14:
|
<?php
// Hash erstellen (Wenn Benutzer angelegt oder Passwort geƤndert wird)
$hash = hash_password($passwort_im_klartext);
// Passwort mit Hash aus der Datenbank vergleichen (z.B. beim Login)
if( verify_password($passwort_im_klartext, $hash_aus_datenbank) )
{
echo "Passwort stimmt!";
}
else
{
echo "Passwort ist falsch!";
}
|
|
In der Standardeinstellung wird der Algorithmus sha256 verwendet. Zusammen mit den anderen Informationen liefert die Funktion hash_password also einen String mit 87 Zeichen zurück.
Dieser String ist wie folgt aufgebaut:
algorithmus$rundenanzahl$salt$hash
Vielleicht hilft es ja dem ein oder anderen dabei die Passwörter seiner Nutzer sicherer in der Datenbank zu speichern. Sicherer als MD5 oder SHA1 ist es auf jeden Fall und verwendet einen zufälligen Salt für jeden Hash, was diesen nochmals deutlich sicherer und die Implementierung eines Salts deutlich vereinfacht.
Zusätzlich wird für das Generieren des Salts wenn möglich ein kryptographischer Zufallszahlengenerator verwendet. Ist dies nicht möglich, wird ein Fallback mit mt_rand verwendet.
Verwendet man jedoch PHP 5.3.7 oder höher, sollte man sich folgendes Skript genauer anschauen https://github.com/ircmaxell/password_compat
bzw. die native Password API, wenn man PHP 5.5 oder höher verwendet http://php.net/manual/de/ref.password.php
|
Schau mal bei meinem Projekt vorbei. Vielleicht ist das ja was für dich  MyStartPanel - Deine persönliche Startseite mit deinen Favoriten
Auf der Suche nach einem guten Vokabeltrainer? Vokabeltrainer Cramfire - Schnell und effektiv Vokabeln lernen
Post wurde schon 2x editiert, das letzte mal am 01.10.2015 um 21:18 von Andavos
|
|