我目前正试图了解哈希和盐.据我了解,如果我只有密码和生成的哈希(用随机盐的生成)生成,则不应该验证密码.
那么,如果我不给它盐,那么PHP中的password_verify函数如何验证我的密码呢?在后台是否有一个隐藏变量,它存储它用于php散列函数?
如果是这样,怎么可能
doveadm pw -t '{SHA512-CRYPT}$6$myhash...' -p "qwertz"
验证它,即使我在完全不同的计算机上运行它?这是Dovecot(MDA)附带的工具.
这是我的PHP代码,它创建一个包含64个字符的随机盐,将它与密码组合,创建一个哈希并通过password_verify()验证哈希.
我今天刚刚开始研究整个哈希/盐/胡椒的事情,所以在我的整个思路中可能存在一个巨大的缺陷.
<?php
$password = "qwertz";
$salt = createSalt(64);
$hash = crypt($password, "$6$$salt");
if (password_verify($password, $hash)) {
echo 'Password is valid!';
} else {
echo 'Invalid password.';
}
function createSalt($length){
$chars = "IrhsYyLofUKj4caz0FDBCe2W9NRunTgQvp7qOXmS5GM3EJV6i8tAHdkPbxwl1Z";
$salt="";
for($i=0; $i < $length; $i++){
$newchar = substr($chars, rand(0,strlen($chars)-1),1);
$salt .= $newchar;
}
return $salt;
}
?>
解决方法:
哈希包含几条信息.这个article解释了Unix使用的格式,但我相信PHP密码函数使用类似的格式(如果不相同):
The hash field itself is comprised of three different fields. They are
separated by ‘$’ and represent:
- Some characters which represents the cryptographic hashing mechanism used to generate the actual hash
- A randomly generated salt to safeguard against rainbow table attacks
- The hash which results from joining the users password with the stored salt and running it through the hashing mechanism specified in
the first field
它还可以包括用于生成哈希的精确的每算法选项,例如算法成本:
var_dump(password_hash('foo', PASSWORD_BCRYPT, [
'cost' => 8,
]));
06001
这里$2y $08 $意味着使用了成本为8的Bcrypt.
如果我们使用PHP / 7.2中提供的更新的Argon2,那么还有更多的参数:
$argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0