PHP中有哪些密碼處理方式
這篇文章將為大家詳細講解有關PHP中有哪些密碼處理方式�����,文章內容質量較高�,因此小編分享給大家做個參考���,希望大家閱讀完這篇文章后對相關知識有一定的了解��。
關于密碼我們應該遵守的一些原則
絕對不能知道用戶的密碼
絕對不去約束用戶的密碼
絕對不通過電子郵件發送用戶的密碼
對于一個web應用來說�,重置或修改密碼時�����,我們應該在郵件里發送用于設定或修改密碼的 URL ���。而且這個URL中應該會包含一個唯一的令牌�����,這個令牌只能在設定或修改密碼時使用一次���。在設定或修改密碼之后��,我們就應該把這個令牌置為失效����。
使用 bcrypt 計算用戶密碼的哈希值
目前�����,通過大量的審查���,最安全的哈希算法是 bcrypt �����。
首先����,我們明確兩個概念�,哈希��、加密��。哈希和加密有什么區別���?
加密
加密是雙向算法��,加密的數據之后通過解密還可以得到��。
哈希
哈希是單向算法���,哈希后的數據不能再還原成原始值����。
哈希算法的用途�,
驗證數據的完整性(要求算法速度快)
哈希的算法有很多種����,
MD5
MD5即Message-Digest Algorithm 5(信息-摘要算法5)�����,用于確保信息傳輸完整一致��。是計算機廣泛使用的雜湊算法之一(又譯摘要算法�、哈希算法)���,主流編程語言普遍已有MD5實現����。將數據(如漢字)運算為另一固定長度值���,是雜湊算法的基礎原理���,MD5的前身有MD2�����、MD3和MD4�。
SHA1
安全哈希算法(Secure Hash Algorithm)主要適用于數字簽名標準 (Digital Signature Standard DSS)里面定義的數字簽名算法(Digital Signature Algorithm DSA)�����。對于長度小于2^64位的消息�,SHA1會產生一個160位的消息摘要���。當接收到消息的時候�����,這個消息摘要可以用來驗證數據的完整性�。在傳輸的過程中�����,數據很可能會發生變化��,那么這時候就會產生不同的消息摘要��。 SHA1有如下特性:不可以從消息摘要中復原信息��;兩個不同的消息不會產生同樣的消息摘要,(但會有1x10 ^ 48分之一的機率出現相同的消息摘要,一般使用時忽略)����。
bcrypt
bcrypt是專門為密碼存儲而設計的算法����,基于Blowfish加密算法變形而來�����,由Niels Provos和David Mazières發表于1999年的USENIX����?��!crypt最大的好處是有一個參數(work factor)����,可用于調整計算強度���,而且work factor是包括在輸出的摘要中的����。隨著攻擊者計算能力的提高����,使用者可以逐步增大work factor���,而且不會影響已有用戶的登陸�����?���!crypt經過了很多安全專家的仔細分析�����,使用在以安全著稱的OpenBSD中��,一般認為它比PBKDF2更能承受隨著計算能力加強而帶來的風險��。bcrypt也有廣泛的函數庫支持���,因此我們建議使用這種方式存儲密碼����。
scrypt
scrypt不僅計算所需時間長���,而且占用的內存也多���,使得并行計算多個摘要異常困難�����,因此利用rainbow table進行暴力攻擊更加困難����。scrypt沒有在生產環境中大規模應用�����,并且缺乏仔細的審察和廣泛的函數庫支持 �����。但是����,scrypt在算法層面只要沒有破綻�,它的安全性應該高于PBKDF2和bcrypt���。
目前�,通過大量的審查�,最安全的哈希算法是 bcrypt ��。與 MD5 和 SHA1 不同���, bcrypt 算法會自動加鹽��,來防止潛在的彩虹表攻擊����。 bcrypt 算法會花費大量的時間反復處理數據�,來生成安全的哈希值�。在這個過程中�,處理數據的次數叫工作因子(work factor)���。工作因子的值越高�,破解密碼哈希值的時間會成指數倍增長�。
bcrypt 算法永不過時��,如果計算機的運算速度變快了�,我們只需要提高工作因子即可��。
順帶說一下�,任何情況下盡可能的不要使用 md5 算法�,至少也要使用 SHA 系列的哈希算法�。因為md5算法以目前計算機的計算能力來說顯得比較簡單��,而 md5 的性能優勢現在也已經完全可以忽略不計了���。
密碼哈希API
上面我們說到 bcrypt 算法最安全�,最適合對我們的密碼進行哈希��。 PHP 在 PHP5.5.0+ 的版本中提供了原生的密碼哈希API供我們使用����,這個密碼哈希API默認使用的就是 bcrypt 哈希算法����,從而大大簡化了我們計算密碼哈希值和驗證密碼的操作���。
PHP原生密碼哈希API
密碼哈希函數:
password_get_info
返回指定的哈希值的相關信息
password_hash
創建密碼的哈希(hash)
password_needs_rehash
檢查給定的哈希是否與給定的選項匹配
password_verify
驗證密碼是否和哈希匹配
password_get_info
說明
array password_get_info ( string $hash )
參數
hash, 一個由 password_hash() 創建的散列值�。
示例���,
<?php
var_dump(password_get_info($hash));
// Example
array(3) {
["algo"]=>
int(1)
["algoName"]=>
string(6) "bcrypt"
["options"]=>
array(1) {
["cost"]=>
int(10)
}
}
?>password_hash
說明
string password_hash ( string $password , integer $algo [, array $options ] )
password_hash() 使用足夠強度的單向散列算法創建密碼的哈希(hash)���。 password_hash() 兼容 crypt()�����。 所以���, crypt() 創建的密碼哈希也可用于 password_hash()��。
當前支持的算法:
PASSWORD_DEFAULT
使用 bcrypt 算法 (PHP 5.5.0 默認)�����。 注意�,該常量會隨著 PHP 加入更新更高強度的算法而改變���。 所以����,使用此常量生成結果的長度將在未來有變化�����。 因此�,數據庫里儲存結果的列可超過60個字符(最好是255個字符)�����。
PASSWORD_BCRYPT
使用 CRYPT_BLOWFISH 算法創建哈希��。 這會產生兼容使用 “$2y$“ 的 crypt()�����。 結果將會是 60 個字符的字符串����, 或者在失敗時返回 FALSE����。
支持的選項:
salt - 手動提供哈希密碼的鹽值(salt)��。這將避免自動生成鹽值(salt)��。
省略此值后�����,password_hash() 會為每個密碼哈希自動生成隨機的鹽值���。這種操作是有意的模式����。
Warning 鹽值(salt)選項從 PHP 7.0.0 開始被廢棄(deprecated)了�����。 現在最好選擇簡單的使用默認產生的鹽值�����。
cost - 代表算法使用的 cost����。crypt() 頁面上有 cost 值的例子����。
省略時��,默認值是 10����。 這個 cost 是個不錯的底線����,但也許可以根據自己硬件的情況��,加大這個值���。
參數
password, 用戶的密碼�。
使用 PASSWORD_BCRYPT 做算法�,將使 password 參數最長為72個字符��,超過會被截斷�。
algo, 一個用來在散列密碼時指示算法的密碼算法常量�����。
options, 一個包含有選項的關聯數組�。目前支持兩個選項:
salt�,在散列密碼時加的鹽(干擾字符串)���,
cost�,用來指明算法遞歸的層數�����。這兩個值的例子可在 crypt() 頁面找到�。
省略后���,將使用隨機鹽值與默認 cost�����。
示例
示例1��,使用默認算法哈希密碼
<?php
/**
* 我們想要使用默認算法哈希密碼
* 當前是 BCRYPT��,并會產生 60 個字符的結果�。
*
* 請注意�,隨時間推移��,默認算法可能會有變化���,
* 所以需要儲存的空間能夠超過 60 字(255字不錯)
*/
echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT)."\n";
?>
// 輸出類似于:
// $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a示例2�,手動設置 cost
<?php
/**
* 在這個案例里����,我們為 BCRYPT 增加 cost 到 12��。
* 注意����,我們已經切換到了�,將始終產生 60 個字符��。
*/
$options = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options)."\n";
?>
// 輸出類似于:
// $2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K示例3�����,如何選擇一個適合當前服務器的 cost
<?php
/**
* 這個例子對服務器做了基準測試(benchmark)���,檢測服務器能承受多高的 cost
* 在不明顯拖慢服務器的情況下可以設置最高的值
* 8-10 是個不錯的底線���,在服務器夠快的情況下�����,越高越好���。
* 以下代碼目標為 ≤ 50 毫秒(milliseconds)�,
* 適合系統處理交互登錄���。
*/
$timeTarget = 0.05; // 50 毫秒(milliseconds)
$cost = 8;
do {
$cost++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $cost]);
$end = microtime(true);
} while (($end - $start) < $timeTarget);
echo "Appropriate Cost Found: " . $cost . "\n";
?>輸出類似于:
Appropriate Cost Found: 10
password_needs_rehash
說明
boolean password_needs_rehash ( string $hash , integer $algo [, array $options ] )
參數
hash, 一個由 password_hash() 創建的散列值�。
algo, 一個用來在散列密碼時指示算法的密碼算法常量��。
options, 一個包含有選項的關聯數組�����。目前支持兩個選項:
salt�,在散列密碼時加的鹽(干擾字符串)�����,
cost�,用來指明算法遞歸的層數��。這兩個值的例子可在 crypt() 頁面找到�����。
示例�����,
<?php
$password = 'rasmuslerdorf';
$hash = '$2y$10$YCFsG6elYca568hBi2pZ0.3LDL5wjgxct1N8w/oLR/jfHsiQwCqTS';
// cost 參數可隨硬件的提升也不斷提升
$options = array('cost' => 11);
// 使用純文本密碼 驗證存儲的散列
if (password_verify($password, $hash)) {
// 檢查是否有更新的散列算法可用或 cost 是否已經改變
if (password_needs_rehash($hash, PASSWORD_DEFAULT, $options)) {
// 如果是���,請創建一個新的哈希值��,并替換舊的哈希值
$newHash = password_hash($password, PASSWORD_DEFAULT, $options);
}
// 用戶登錄驗證完成
// ...
}
?>password_verify
說明
boolean password_verify ( string $password , string $hash )
注意 password_hash() 返回的哈希包含了算法���、 cost 和鹽值���。 因此���,所有需要的信息都包含內�����。使得驗證函數不需要儲存額外鹽值等信息即可驗證哈希���。
參數
示例�,
<?php
// 想知道以下字符從哪里來����,可參見 password_hash() 的例子
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';
if (password_verify('rasmuslerdorf', $hash)) {
echo 'Password is valid!';
} else {
echo 'Invalid password.';
}
?>以上例程會輸出:
Password is valid!
PHP5.50 之前的密碼哈希 API
安東尼·費拉拉(PHP原生密碼哈希 API的開發者)為PHP5.5.0 以下的版本也提供了 ircmaxell/password-compat組件(https://packagist.org/packages/ircmaxell/password-compat)�����。
這個組件也實現了PHP密碼哈希API中的所有函數����,
password_get_info
password_hash
password_needs_rehash
password_verify
我們可以直接使用 Composer 把這個組件添加到我們的應用中就行了��。例如��,
composer require ircmaxell/password-compat
關于PHP中有哪些密碼處理方式就分享到這里了�����,希望以上內容可以對大家有一定的幫助����,可以學到更多知識��。如果覺得文章不錯���,可以把它分享出去讓更多的人看到���。
