問題タブ [password-hash]

私のコードで ErrorException が発生しました $user->password = Hash::make(Input::get('password')); password_hash() と言う: パスワードは文字列でなければなりません。私はlaravelフレームワークを使用しています

パスワードをハッシュしてソルトしましょう：

ページのリロードごとに結果が変わります。これは正常です。ソルトはランダムに生成されます。

前のコードでは、ソルトはどこにも保存されていないようです (間違っていますか?)。しかし、最後password_verifyにハッシュを使用してパスワードを確認することができ、ソルトが何であるかに関係なく、すべての結果で機能します。

どこかpassword_verifyに保存しなくてもパスワードを確認できるのは普通ですか？salt

コード：

結果：

コード：

結果：

コード：

質問：

ご覧のとおり、A と B を 21 文字の文字列に追加することで、22 文字の 2 つの異なるソルトを作成しましたが、HASHES は同じです! 22文字目無視ですか？無視された場合、なぜ 22 文字のソルトを要求するのでしょうか?

Windows アプリケーションでパスワード ハッシュを生成し、後でそれらを Linux デバイスにダウンロードしてシャドウ パスワード ファイルに挿入する必要があります。マーケティング上の理由から、PBKDF2 を使用することは、FIPS 認定のレベルを提供するため、Windows 側で魅力的ですが、Linux シャドウ パスワード ファイルで PBKDF2 ハッシュを使用する方法/使用できるかどうかはわかりません。

私が知っている奇妙な要件ですが、Windows アプリは RBAC をオフラインで構成するために使用されます。

Linux についてはほとんど何も知りませんが、Busybox (crypt を含む) を使用しており、PBKDF2 はサポートされていないことを理解しています。

PBKDF2 サポートを追加できますか? どのようにポインタ？

さて、私の教育のためのサイド プロジェクトとして、私は現在、PHP と mysqli を使用して安全なログイン システムに取り組んでいます。順調に進んでいますが、今、仲間、教師、そして私が困惑している問題に遭遇しました.

password_hash と password_verify でパスワードをハッシュしてチェックしています。

アカウントを作成すると、すべてがデータベースに正しく保存されます。次に、正しいパスワードを使用してログインしようとすると、パスワードが正しくないというエラーが表示されます。

キッカーは次のとおりです。PHPMyAdminにアクセスすると、データベースに保存されているハッシュ化されたパスワードをコピーし、コピーされた正確なパスワードでパスワードフィールドを更新します...うまくいきます。使用したパスワードで意図したとおりにログインでき、エラーは発生しません。

何が起きているのか、それを修正する方法を知っている人はいますか?

登録に使用されるコード:

資格情報の検証に使用されるコード:

ログインを呼び出す部分: (はい、validatecredentials 関数が 2 回呼び出されています。はい、そこにはあまりよく書かれていないものがいくつかあります。コードのこの部分にはまだいくつかの作業が必要であり、それが最初のことです。上記の問題を修正した後に行います）

更新 したがって、これは恥ずかしいほど愚かな承認ですが、問題は、データベースに保存したハッシュが引用符を含む「パスワード」のハッシュであったことでした。私が書いたクエリには問題はありませんでした。問題は議長とキーボード。

これはよくある質問です。私はスタックオーバーフローとグーグルを調べて答えを見つけようとしましたが、うまくいきませんでした。

各エージェントに割り当てられたログインとパスワードを含む「エージェント」のテーブルがあります。パスワード フィールドは、長さが 255 の varchar です。

これが私のphpコードです：

私は途方に暮れています。ローカルに作成された password_hash のコピーを提供した場合にのみ機能するように見えますが、そのローカルに作成されたコピーを MySQL データベースで使用すると失敗します。

何か案は？

drupal パスワード ハッシュの確認に CryptSharp の公式バージョンを使用していますが、常に false になります。ライブラリには drupal 7 パスワード 7 に関する直接のドキュメントはありませんが、nuget の説明で drupal 7 をサポートしていると言っています。

このコードの使用

次のパスワードとハッシュについてテスト済み

しかし、結果は常にfalseあり、同じハッシュで drupal にログインできます

ばかげた質問かもしれませんが、可能であれば、ソルトの一部としてユーザー名を使用して BasePasswordHasher サブクラスを作成する最良の方法は何ですか? 私はサイトをゼロから書き直しており、php でこのアプローチを使用しました。問題は、パスワード ハッシャーでユーザー名にアクセスすることです。そうしないと多くのユーザーがパスワードを失う可能性があるため、これを解決できることを本当にうれしく思います。

PHP コード:

Web アプリケーションでは、/dev/urandom から数バイトを読み取って、パスワードをハッシュするためのランダムなソルトを取得しています。

ハッシュする前にソルトをbase64にするのは良いですか? base64 エンコーディングでは末尾に = が追加されることがあるため、既知のプレーンテキスト攻撃が発生する可能性があります。しかし、ソルトはデータベースに保存されているため、問題はないかもしれません。それとも間違っていますか?

これはアプリケーションのセキュリティに影響しますか?