問題タブ [crypt]

私は次のようにクリプトを使用しています：

mysql テーブルに対するパスワードの挿入と検証の両方に使用できます。問題は、パスワードが類似している場合、同様の結果が生成されることです。異なるパスワードに対して異なる結果を保証するアルゴリズムはありますか?

私はcrypt()次のようにPHPで暗号化を使用しています：

これはどれくらい安全ですか？

ここでより良い解決策を見つけました：openwall phpass

エドワードトムソンに感謝します

PHP (Codeigniter) と Phils RESTserver を使用して API を開発しています。パスワードとソルトで crypt() を使用してハッシュを作成しています。

問題は、crypt() アルゴリズムの結果であるハッシュが、ローカル マシンとサーバーで異なることです。

ローカルでは問題なく動作しますが、サーバー上では (略して) 動作しません。パスワードとソルトをハードコードしてみたので、同じであることはわかっています。

ローカル マシンからのハッシュ:

サーバーからのハッシュ:

何が間違っている可能性がありますか？

（サーバーはcentos 5を実行しています）。

重複の可能性:
PHP パスワードの安全なハッシュとソルト

Web サイトを作成していますが、パスワードを保存するための安全なアルゴリズムが必要です。最初は bcrypt を考えていましたが、ホストがサポートしていないことがわかり、ホストを変更できません。

私のホストはこの暗号化を許可します:

• 標準DES

そして、これらのハッシュ:

• MD5
• md2、md4、md5
• sha1、sha256、sha384、sha512
• ripemd128、ripemd160、ripemd256、ripemd360
• ワールプール
• tiger128,3、tiger160,3、tiger192,3、tiger128,4、tiger160,4 & tiger192,4
• スネフル
• ゴスト
• アドラー32
• crc32 & crc32b
• haval128,3, haval160,3, haval192,3, haval224,3, haval256,3, haval128,4, haval160,4, haval192,4, haval224,3, haval256,4, haval128,5, haval160,5, haval192, 5、haval224,5 & haval256,5

それで、あなたの誰かがそれとソルトで良いアルゴリズムを修正できますか?

PHP を 5.3.6 から 5.3.7 に更新したところ、crypt() で同じ結果が得られないことに気付きました。

これにより、log-n システムが機能しなくなっているため、以前のバージョンにロールバックしました。

バージョン間で同じ暗号化システムが使用されるようにするためにできることがあるかどうか知りたいです。

私は、次のようにマニュアルから直接、単純に使用しています。

これは一種の非常に基本的な質問です。これに関するヘルプを検索しましたが、具体的な答えが見つかりませんでした。したがって、私はここで具体的に尋ねています。

ユースケースは、利用可能なハッシュのリストを参照して脆弱なパスワードを見つけたいです。そのためには、既知の/一般的な各単語のハッシュを使用可能なハッシュと比較する必要があります。これはすべて、openssl/blowfish.h を使用して C++ for Unix で実行されます。

ただし、この推測ワードのハッシュを作成するには、パスワード ハッシュに使用されたものと同じソルトを使用して生成する必要があります。

ここでの私の質問は、パスワード ハッシュからソルトを抽出する方法です。以下が私のハッシュであるとします。

$2a$10$FTx8T5QrEbxYVe.NJ6iOhuei.V9qgl60xF8/8s7iZRDIlOl.ibDEW

この中の塩は何ですか？またはどうすれば目標を達成できますか？どんなポインタでも素晴らしいでしょう!!

前もって感謝します。

PHPでcrypt（）を使用して、一意のトークン文字列を生成しています。私の問題は、生成されたトークンの一部にトークンの最後にピリオド（。）が含まれていることです。これは、トークンをコピーして別の場所に貼り付ける必要があるユーザーにとって混乱を招きます。トークン。

間違えない限り、crypt（）を実行した後、ピリオドを置き換えることはできません。これは、一意の識別子ではなくなるためです。

crypt（）によって出力される文字を制限する方法はありますか？

理由はわかりませんが、VPS サーバーとローカルの MacBook Pro で。コードは機能しますが、共有されているクライアントサーバーで使用するとすぐにこのエラーが発生します。

彼らが共有サーバーを使用していることは知っているので、驚くことではありませんが、機能するために本当に必要です。回避策はありますか?

PHP のドキュメントによると、bcrypt ソルトは

「$2a$」、2 桁のコスト パラメータ、「$」、およびアルファベット 22 桁の「./0-9A-Za-z」

したがって、crypt() 関数を使用してパスワードをハッシュすると、結果の出力にはソルトの一部として最初の 7 文字 (コスト パラメーターが 10 の場合は $2a$10$) が含まれます。インターネット全体で見つけることができた場合、この完全な出力が db に書き込まれます。

これらの最初の文字を残りのソルトと暗号化されたデータと共に保存することに何の意味があるのか​​ 疑問に思っています。それらの意味は私には完全に明らかですが、なぜそのような情報が残りのハッシュと一緒に書かれなければならないのか本当に理解できません. それらは、アルゴリズムと計算の適応コストに関する「単なる」情報ではありませんか? では、このようなアプリケーション関連の情報を保存する利点は何でしょうか? そして (幼稚に聞こえるかもしれませんが) なぜ最終的に私のデータベースを盗む攻撃者にそれらを開示するのでしょうか?

crypt関数を使用することを考えて、別の比較的大きな文字列（ディレクトリパス名で構成される）を指定して、一意の文字列/ IDを生成しようとしています。しかし、おそらく私の理解力の欠如が原因で、期待どおりに機能していません。

ここにコードと出力：

出力：

最初の 2 つの文字列では同じ暗号化文字列を返し、3 番目の文字列では異なる理由がわかりませんでした。塩はすべて同じであることに注意してください。