問題タブ [password-hash]

パスワードに「bcrypt」暗号化を追加しようとしています。しかし、コードを実行すると、このようなエラーが発生しました

私のコードは

私はこれについてあまり知りません。チュートリアルからコードをコピーしただけです。何か不足していますか？

と を使用しようとしていpassrord_hash()ますpassword_verify()。以下のコードは完璧に機能します。

しかし、それを関数に変換すると、無効なパスワードが表示されます。関数で渡す値をエコーし​​ました。正しい値を示しています。しかし、結果は間違っています。コードの何が問題なのか理解できません

助けてください

パスワードハッシュについて読んでいます。私は本当にphpが得意ではありません。ここにあるように、Taylor Hornby のパスワード ハッシュ関数の使用方法を誰か教えてもらえますか?

PHP のパスワード ハッシュ API を使用して、構築中のサイトのパスワードをハッシュして検証していますが、パスワードを検証しようとすると、常に false が返されます。

データベースに挿入される前にパスワードを設定する User クラスがあります。

ユーザー名と電子メールが一意の場合、新しいユーザー行が挿入されます。データベースを確認すると、パスワードに有効な BCRYPT 文字列と思われるものがあります。

パスワードを確認するために、次のスクリプトを実行します。

$hash上記の文字列に関係しますが、入力フィールドから取得した平文のパスワードがpassword_verify($password, $hash)where is であると呼び出すと、常に false の値が返されます。$password

チュートリアル http://dialect.ca/code/ci-simple-login-secure/に従いました が、パスワードを入力するとパスワード エラーが発生します

とにかくパスワードエラーを元に戻しました..正規表現に問題がある場合は?

修正方法??..ありがとう

監査人に説明できるように、password_hash を完全に理解しようとしています。

私の答えの検索に基づいて、password_hash()関数が のラッパーであることを理解していますcrypt()。事前定義された定数の PHP マニュアルを読んでいると、デフォルトの整数値として使用されていることがわかりPASSWORD_BCRYPTます (基本的には、CRYPT_BLOWFISHアルゴリズムを使用してパスワードをハッシュします)。

私を混乱させているのは、$options省略した場合、変数がランダムなソルトを生成し、コストが に設定されること10です。より高いコストを指定した場合 (例: 12)、ソルト値を指定していないため、ランダムなソルトが生成されますか? ここで混乱しているのは、 を省略しているのでは$optionsなく、別のコストを提供しているためです。

私の他の質問:

• コスト値を上げるとセキュリティが向上するのはなぜですか?
• password_hash()一方向のハッシュ関数でpassword_verify()あるため、ソルトがランダムであるため、パスワードを検証するにはどうすればよいですか?
• ハッシュCRYPT_SHA512よりも強いですか？CRYPT_BLOWFISH

PHP でpassword_hash関数を使用して、データベースに保存する前にユーザー パスワードをハッシュします。

デフォルトのアルゴリズム (CRYPT_BLOWFISH) を使用してパスワードをハッシュします。コスト値には、10 ではなく 12 を使用します。ただし、暗号化されたパスワードのビット長は不明です。それは64、128、256ビットですか？

また、コスト値を大きくするとビット長が長くなりますか?

ありがとう

ここで見つけたTaylor Hornby（別名Defuse）のPHPパスワードハッシュメソッド（PHP互換バージョン）の使用に興味があります：https://github.com/defuse/password-hashing

1. PHP 4以降で「安全に」動作しますか?
2. 異なるサーバーで安全に動作しますか? 64ビットは32ビットと同じハッシュを与えるでしょうか?

私がこれを尋ねているのは、さまざまなホスティング会社がさまざまな PHP バージョンとさまざまな Linux バージョンを提供しているためです。そのため、私の開発サーバーでは問題なく機能するかもしれないが、運用サーバーでは適切に機能しないこの手法を実装することを恐れています。