php – 从password_hash()确定salt

2023-08-15 15:41:40

我用bcrypt哈希我的密码(因为我运行php 5.3.10,实际上是password_compat)
我想将函数的结果字符串拆分为两部分:使用的盐和散列本身. (我知道使用password_verify()来验证密码.但是我需要使用哈希作为密钥来加密更广泛的安全系统中的私钥.)

对于给定的密码(abcdef),这是结果:

 $2y$10$ult68Ti4/zEWX4VQ       ....           YCOWjL6

我稍微修改了the function,吐出了concat,salt,hash和hash_format.

 ... from the password_compat ...
 $salt = substr($salt, 0, $required_salt_len);
 $hash = $hash_format . $salt;
 $ret = crypt($password, $hash);
 if (!is_string($ret) || strlen($ret) <= 13) {
        return false;
 }

 return array( 'concat'=>$ret, 
               'salt'=>$salt, 
               'format'=>$hash_format,
               'hash_format'=>$hash);

我认为结果哈希是$hash_format,$salt和哈希的连续…但最后一个字符是不同的…

                                               _
[concat] =>        $2y$10$oWfFYcNqlcUeGwJM0AFUguSJ5t  .....  SvWG
[salt] =>                 oWfFYcNqlcUeGwJM0AFUgw
[hash_format] =>   $2y$10$oWfFYcNqlcUeGwJM0AFUgw
[format] =>        $2y$10$
                                               ^

正如您所看到的,在crypt函数之前和函数之后,salt中的最后一个字符是不同的.

这怎么可能?

解决方法:

传递给crypt()的salt可能与生成的哈希值中返回的salt不同的原因是,BCrypt内部仅使用126位的salt,但传递给该函数的salt始终包含128位.由于crypt函数需要对base64编码的salt类,因此不能直接传递126位.

您可以在这里找到更详细的答案:Why does crypt/blowfish generate the same hash with two different salts?

我知道您希望使用真实哈希作为加密另一个密钥的密钥,您可以从生成的哈希值中提取它.此字符串始终具有某种格式,其中$用于分隔各部分,而BCrypt实际哈希是最后31个字符

$2y$10$nOUIs5kJ7naTuTFkBy1veuK0kSxUFXfuaOKdOKf9xYT0KKIGSJwFa
 |  |  |                     |
 |  |  |                     hash-value = K0kSxUFXfuaOKdOKf9xYT0KKIGSJwFa
 |  |  |
 |  |  salt = nOUIs5kJ7naTuTFkBy1veu (22 characters)
 |  |
 |  cost-factor = 10 = 2^10 iterations
 |
 hash-algorithm = 2y = BCrypt

另一种可能性是计算整个字符串的散列(全部60个字符).您可以选择返回所需长度的算法,例如sha256获取MCRYPT_TWOFISH的256位密钥.

上一篇:python – ‘bytes’对象没有属性’encode’


下一篇:php – 在BCrypt中使用2x前缀?