問題タブ [crypt]

パスワードで保護された Web サイトを作成しようとしています。パスワードは現在、テストしやすいようにハードコードされています。

私が直面している問題は、実際のパスワードを入力しても Cookie が設定されていないように見えることです。もう一度パスワードを再入力すると、Cookie が設定されます。

問題はコードを呼び出す順序であることはわかっていますが、最初の正しいパスワード入力で正しく機能させるために何を変更する必要があるかを実際に特定するのに苦労しています。どんな助けでも大歓迎です。

私はこのPerlコードを持っています:

これは 0 を返していますが、1 を返す必要があります

次を出力した場合：

私は得る：

そのcrypt部分はまさに私がデータベースに持っているものです。MySQL で同じ値を実行すると、カウント 1 が返されます。

ここで何が問題なのか本当にわかりません。

他の誰かが私が見逃しているものを見ていますか?

この機能は、パスワードと電子メールのハッシュ/暗号化に対して安全ですか? 編集：明らかに違います！

編集：これが私が今使っているコードです。これはかなり安全だと思います。これは、ランダム ソルト ジェネレーターを備えた PBKDF2 パスワード ハッシュ関数です。

これが PBKDF2 関数です。p はパスワードです。s は塩です。c は反復用です kl はキーの長さ用です。a はハッシュアルゴリズムです。

ソルトジェネレーター:

使用中で：

少しグーグルで検索すると、100000回の反復はかなり安全ですが、10000回で十分だと思います。

Crypt は同じ入力データで異なるハッシュを生成しており、以前は機能していた [次の] ハッシュ ジェネレーター/チェックは、認証ユーザーに対して機能しなくなりました。

私は頭を壁にぶつけていますが、Zend の内部アルゴリズムと PHP とオペレーティング システムのアルゴリズムの違いに答えは見つかりませんでした。または PHP 5.3.8 とそれ以前の違い...

編集:私の質問は技術的に回答されており、適切に質問しなかったのは私のせいです。私は実装しました：

私の本当の質問は次のとおりです。次の関数の戻り値が異なるのはなぜですか?

戻り値: $2y$08$43f053b1538df81054d4cOJyrO5/j7NtZBCw6LrFof29cLBs7giK6

戻り値: $2a$08$43f053b1538df81054d4cOPSGh/LMc0PZx6RC6PlXOSc61BKq/F6.

結果を生成します。

以前に 22 文字のランダムなソルトを生成していたことがわかります。また、PHPASS についてすべて知っていること、mt_rand() が CSPRNG ではないことなども知っています。 admin') は、静的ソルトを使用しても別のハッシュを生成します。適切なソルトを生成する substr($storedpass, 60) を出力したことがわかりますが、crypt() 関数を (最初の $storedpass を作成するための同じパラメーターを使用して) 実行すると、別の結果が生成され、認証が破られます。私の（比較的小さく、ミッションクリティカルではない）アプリケーション...

重複の可能性：
hash（）関数とcrypt（）関数の比較

最近、PHPでパスワードハッシュを適切に行う方法を研究しました。より良いオプションの1つは、を使用することcrypt()です。しかし、なぜ私たちは使用しないのhash()ですか？

私がこれを求めている主な理由は、ラップするパスワードハッシュ関数を作成し、crypt()関数に何という名前を付けるのか疑問に思っているためです。現在、名前はgetHash()です。でも、ラッピングしているので、その名前を使って面白いと思いますcrypt()。私が使用getCrypt()した場合、それはハッシュ関数であることが意図されているため、どちらも素晴らしい音ではありません。ラップするハッシュ関数には何という名前を付ける必要がありcrypt()ますか？

これは、ユーザーに画像パスを隠す方法ですか？

ログインシステムの作成と、パスワードの暗号化に crypt 関数を使用する作業を開始しました。私の問題は、ユーザーとパスワードを使用してユーザーを登録すると、すべてが機能し、ユーザー名のパスワードとソルトがデータベースに保存されることです。登録用のコードは次のとおりです。

注: 現時点では、これはテスト登録ページのみです。

それは正しく暗号化されるので、実際の例では、パスワード テストは次のようになります。

そのソルトは次のものです:
d395985a2ca993f

データベースからソルトを取り出して同じ方法で再暗号化しようとしてもログインに行くと、別の暗号化されたパスワードを取得します...ソルトは正しく、パスワードの最初の部分も正しいので、この部分「$2y$10$d395985a2ca993f$$$$$$」

ログイン用のコードは次のとおりです。

ログインページのソルトは正しいですが、ハッシュ化後のパスワードは次のとおりです: $2y$10$d395985a2ca993f$$$$$$.ccy3PKl.TsG26FWJBFXKmpQ3wtk4AqC

終止符までの最初の部分は正しいですが、後半だけが異なります

ログオンおよび登録ページでのテストのためだけに abc や 123 のように手動でソルトを設定しようとしましたが、それでも同じエラーが発生します

パスワードをエンコードする正しい方法について半日読んだ後、私は圧倒され、この方法を選択しました。ただし、これが最善の方法であるかどうかはわかりません。前もって感謝します。

PHP crypt() を使用して、Zend php アプリケーションでパスワードをハッシュしています。しかし、Zend_Auth_Adapter_DbTable でこのハッシュを使用するための解決策が思いつきません。crypt() で実行された後にパスワードハッシュが保存されていると仮定します...

Zend_Auth_Adapter_DbTable テーブル オブジェクトをこの種のソルティングおよびハッシュ戦略で使用するにはどうすればよいですか? 私は周りを見回しましたが、MD5およびSHAタイプのハッシュ以外のソリューションを実際に見つけることができません...