問題タブ [bcrypt]

phpassのbcrypt機能を使用して、サイトのパスワードをハッシュしています。さて、それは実際には機能しません。関数と比較しようとしてもCheckPassword機能しません。ハッシュを復号化するために使用したすべての関数から出てくるすべての文字列の大規模なデバッグを行い、bcryptによって生成されたハッシュはかなりランダムであるという結論に達しました。したがって、新しく生成されたプレーンテキストパスワードのハッシュは、私のデータベースのハッシュと一致することはありません。本当？もしそうなら、どうやってそれを機能させるのですか？ソースコードはかなり単純です。

bcryptパスワードをハッシュし、後で提供されたパスワードが正しいかどうかを確認するために使用したいと思います。

パスワードのハッシュ化は簡単です:

平文のパスワードを保存されたハッシュと比較するにはどうすればよいですか?

bcryptDelphi で使用できる実装を探しています。グーグルが私にもたらす唯一の有用なものは、このダウンロードページbcrypt.hです. しかし、それが提供する機能を見るとbcrypt.h、Blowfish アルゴリズムを使用してパスワードをハッシュする方法が実際には含まれていないようです!

C で DLL をビルドしてリンクできるいくつかの bcrypt 実装を見つけましたが、それらはすべて *nix を必要とするか、GCC 固有であると思われるため、どちらも機能しません!

これは私を壁に追いやるようなものです。実装を見つけるのは簡単だと思いますが、そうではないようです。どこで入手できるか知っている人はいますか？

BCrypt の checkpw(plaintextpw, previoushash) メソッドを使用して、平文パスワードと一致する以前のハッシュを取得するのに問題があります。

登録サーブレットでは、入力したパスワードを取得し、BCrypt の hashpw(password, genSalt) メソッドを使用してハッシュし、データベースに保存します。

ログイン サーブレットでは、データベースからそのハッシュを取得し、BCrypt の checkpw を使用して、入力したパスワードと一致するかどうかを確認します。

決して一致しません。これは、webapp ではなく、通常の Java アプリでは正常に機能します。他の誰もこの問題を抱えていないので、私は間違ったことをしているに違いないと思います:

BCrypt API は非常にシンプルです。

BCryptを使用するとおそらく必要ないため、塩を保存していません-では、何が間違っているのでしょうか?

私は CNG ECDH を実装する処理を行っており、BCRYPT_KDF_SP80056A_CONCAT KDF を使用して対称 AES256 キー (BCryptDeriveKey()) を導出しようとしています。問題が発生しています (常に 0xc000000d ステータスが返されます)。

共有シークレットを正常に生成し、1 つの AlgorithmID、1 つの PartyU および 1 つの PartyV の「その他の情報」を含む「BCryptBuffer」の配列を持つバッファー記述子「BCryptBufferDesc」を作成しました。構造がすべて適切に定義され、設定されていると思います。私は PartyU と PartyV バイトのいくつかの「値」を選んでいます (それぞれに 1 バイトと 16 バイトを試しましたが、同じ結果が得られました)。NIST のドキュメントには、他の情報がどうあるべきかについての詳細は記載されていません。

文字列や定義などを使用して、これらの構造を作成するために Microsoft の Web サイトに従いました。標準の L"HASH" kdf を試してみたところ、機能し、両方の「側」で同じ派生キーを取得しましたが、連結KDF 私はいつも同じ 0xC000000D ステータスを返します..

他の誰かが BCRYPT_KDF_SP80056A_CONCAT CNG KDF を正常に使用できましたか? もしそうなら、何かヒントはありますか？

C には、少なくとも 2 つの Bcrypt 実装があります。

• オリジナル: http://bcrypt.sourceforge.net/
• Openwall: http://www.openwall.com/crypt/

新しいプロジェクトのベースとして使用する必要があるのはどれですか? 下位互換性は必要ないので、より最新で維持されていると見なされる実装のみを選択することに注意してください。また、ほとんどの非 C 言語バインディングのベースとして使用されているのはどれなのかにも興味があります。

私はセキュリティに関しては初心者です.php cryptを読んで良いアドバイスを探していますが、最も効果的な方法で「どのように」行うかについては誰も詳しく説明していません.

次のようなものを使用するテストログインを作成しました。

(パスワード文字列の長さを制限するなど、完全に安全にするために変更する必要があることはたくさんあると思います)

ランダムなソルトを作成してパスワードとともに保存するのが理想的であることをどこかで読みました（パスワードに関係のない数字をチェックするという概念を完全には理解していません）

次に、セキュリティを向上させないため、ランダムなソルトを行うのは無意味であり、静的なソルトでもほぼ同じことを行うことをどこかで読みました。

$_GET でランダムなソルトを使用するこのチュートリアルを見ました。(これは正しくないと言ってください)

誰かが私のbcryptを可能な限り効果的にする正しい方向に私を向けることができますか.

ありがとう

CentOSサーバーにbcryptをインストールしようとしていますが、次のエラーが発生しました。

これを解決するにはどうすればよいですか？ありがとう、

私はパスワードをデータベースに安全に保存する方法について多くの調査を行ってきました.bcryptは最も安全なハッシュ アルゴリズムの 1 つとしてあらゆる場所で使われているようです. PHPで書かれています）。その主なセールス ポイントの 1 つは、非常に遅いため、ブルート フォース攻撃や辞書攻撃を遅らせるのに役立つことです。文字通り、私が読んだすべての記事で、bcrypt がいかに優れているかについて言及されています。bcrypt は遅く、ブルート フォース攻撃を防ぐからです。

だから、私の質問は: PHP を使用してログインに失敗した後、手動でコードを 1 秒か 2 秒停止させることはできませんsleep()か? bcrypt が遅いことがなぜそれほど重要なのですか? 私は、任意の暗号化アルゴリズム (bcrypt と同様に暗号化されていると仮定しましょう) を使用し、失敗したログインに PHP sleep() を追加し、ブルート フォース/辞書攻撃に対して同様に優れた防御を行うことができるという印象を受けています。 bcrypt。

RoR で BCrypt を使用していますが、慣れ親しんだ 16 進数表現ではなく数値を取得しています。刑法はこちら。

encrypted_pa​​ssword 変数は、4245597694343378249 のような数値として出力されます。私は Java に BCrypt を使用しましたが、$2asfa$asdfasfsafsad のようなものを期待していました。私が間違っていることを誰かが知っているかどうか疑問に思っていました。

どんな助けでも大歓迎です。