問題タブ [crypt]

私はセキュリティに関しては初心者です.php cryptを読んで良いアドバイスを探していますが、最も効果的な方法で「どのように」行うかについては誰も詳しく説明していません.

次のようなものを使用するテストログインを作成しました。

(パスワード文字列の長さを制限するなど、完全に安全にするために変更する必要があることはたくさんあると思います)

ランダムなソルトを作成してパスワードとともに保存するのが理想的であることをどこかで読みました（パスワードに関係のない数字をチェックするという概念を完全には理解していません）

次に、セキュリティを向上させないため、ランダムなソルトを行うのは無意味であり、静的なソルトでもほぼ同じことを行うことをどこかで読みました。

$_GET でランダムなソルトを使用するこのチュートリアルを見ました。(これは正しくないと言ってください)

誰かが私のbcryptを可能な限り効果的にする正しい方向に私を向けることができますか.

ありがとう

crypt 関数を使用して、データベース内のユーザーの詳細を確認しようとしています:

しかし、それは0行を返します（パスワードは間違いなく正しいです）

この線：

完璧に動作します。

何がうまくいかないのかについてのアイデアはありますか?

私は開発用のクラスを構築しており、暗号化クラスに取り組んでいます。私はphpの暗号化機能とさまざまな暗号化タイプについて読んでいますが、いくつかの領域が漠然と説明されています。

私の理解ではCRYPT_STD_DES、これらの暗号化オプション、、、、、、およびがあります。それらが有効になっているかどうかを確認するには、チェックするだけですCRYPT_EXT_DESCRYPT_MD5CRYPT_BLOWFISHCRYPT_SHA256CRYPT_SHA512

質問

以外の異なる暗号化のソルト要件/フォーマットは何ですか。 SOにあるフグの要件。

明確にするために、フグの塩を使用するとcrypt()、フグの暗号化が自動的に行われると思いますか？

現在、ログインシステムを実装しています。パスワードとソルトをデータベースに保存したい。hash()今、同じことをしているように見える関数があることがわかりましたcrypt()（SHA512で有効です）。

hash()は新しく、 よりも多くのハッシュ アルゴリズムをサポートしているようですcrypt()。または、私が知っておくべき/気にするべき他の違いはありますか?

編集：

結果は次のようになります$1$Qh6ByGJ9$zLn3yq62egvmc9D7SzA2u.

ここで私のパスワードチェック機能：

ColdFusion 復号化を使用して perl crypt 関数からの出力を複製することは可能ですか? 私は暗号化プログラミングに精通していませんが、特に明記されていない限り、crypt は DES アルゴリズムを使用していることを理解しています。Coldfusion は DES アルゴリズムを使用できますが、他にどのパラメーターを使用すればよいかわかりません。

私の状況を明らかにさせてください。私は perl で書かれたベンダー提供のアプリケーションを使用しています。私のローカル ツールセットは主に ColdFusion です。「パスワードを紛失した/パスワードをリセットする」機能を使用して、ベンダー提供のログイン機能を強化したいと考えています。私がアクセスできるベンダーのソース コードは変更したくありません。定期的にアップグレードされ、変更を適用し続ける必要がないからです。さまざまな理由から、最良の解決策は、ColdFusion で perl crypt() 関数の出力をエミュレートして、ベンダー アプリケーションの外部でパスワード リセット関数を構築できるようにすることです。確かに厄介で紛らわしい状況です。

エミュレーション アプローチが実行可能かどうかはわかりません。そうでない場合は、製図板に戻ります。

最近、パスワードハッシュとデータ暗号化について SO でよく読んでいます。つまり、ベストプラクティスを決定するのは本当に混乱しています。どこでも再利用でき、PHP アプリケーションにまともなセキュリティ レベルを提供する非常に単純なクラスが必要です (私は銀行データを処理しません)。さらに、PHP 標準ライブラリにできるだけ依存したいと考えています。私はこれを思いつきました：

ご覧のとおり、Blowfish ハッシュ アルゴリズムcrypt()を使用してパスワードをハッシュすることにしました。の戻り値は、DB に保存するソルト + ハッシュです。私がこの選択をしたのは、すべてのサーバーで利用可能であり、使用されるアルゴリズムに関係なくハッシュをチェックする快適な方法を提供し (salt プレフィックスに基づいています)、bcryptは適切なハッシュ方法であると読んだためです。hashPassword()crypt()

次に、データの暗号化には、Rijndael 256アルゴリズムとCBC モードを使用しました。ご覧のとおり、暗号化方法は 2 つの方法で使用できます。暗号化されたデータとともに DB に保存する IV を渡すことができます (そして IVを作成するのに役立ちます)。そうしない場合、基本的な IV は暗号化と復号化の両方のプロセスでキーから派生します。mcrypt() generateIv()

あなたはそれについてどう思いますか？何か不足していますか？PHP アプリケーションでのハッシュと暗号化について、やっと安心できるでしょうか?!?

たとえば、フグでは次のようなものが返されます。

$2a$12$DEzG.CRsHpxpTOAHooQ.wuR6Xe9h6PxFPhOcOvf.lqDNw1TVYVnEO

これには、ハッシュ alg のタイプに関する情報が含まれており、salt が含まれています。多くのリソースは、この値をデータベースに保存するだけで安全だと言っています。しかし、パスワードの一般的なリストをこれらの値に対してテストして、それらの一部をクラックすることはできませんか?

データベースに保存されているハッシュ化されたパスワードをユーザーが入力したパスワードと比較するにはどうすればよいですか。ユーザーがログインできるようにする必要があります。

パスワードをハッシュ化した方法は次のとおりです（phps cryptメソッドを使用）

これは、それらをユーザー入力と比較する方法です

パスワードを正しく入力したことは 100% 確信していますが、問題は mysql が結果を表示していないことです。

Java Swing フロントエンドが postgres データベースにアクセスするシステムを構築しています。今週Jasyptを発見する前は、もともと Postgres 独自の暗号化メカニズムを使用する予定でした。それは問題なく機能しましたが、ネットワーク上のパスワードを暗号化する必要があったため、Jasypt に目を向けました。

問題は、Postgres ストアド関数に固定パスワードを入力する必要があることです。つまり、入力パスワードが 'aaa' の場合、Postgres ストアド関数 ('aaa' 以外) に入力された他のパスワードは一致しません。

これら 2 つの暗号化メカニズムを連携して動作させる方法はありますか、それとも Postgres をダンプする必要がありますか?

私のユーザーテーブル:

暗号化パスワード:

パスワードの復号化:

2 つを連携させることができない場合は、ネットワーク上で暗号化する必要があるため、Postgres のメカニズムをダンプする必要があります。

また、データベース接続文字列とデータベースのユーザー名とパスワード（フレームワークを使用していない...うまくいけばSSLを使用した単純な古いjdbc接続-まだ実装していない）に関しては、Jasyptを使用できるとは思わない.データベースレベルで復号化する必要があります。この場合、SSL だけで十分でしょうか?

ありがとう。

PHPでcrypt（）を使用してユーザーを認証しようとしています。ログインページの私のコードは次のとおりです。

TrueまたはFalseを戻すことになっている関数は次のとおりです。

現在、どのパスワードを入力しても、入力できます。$ validでvar_dumpを実行すると、暗号化されたパスワードの98文字の文字列が返されるため、$validがTRUEに等しくないことがわかります。助けてください！

ありがとう。