問題タブ [phpass]

phpassは、広く使用されているハッシュ「フレームワーク」です。
PasswordHash（v0.2）に渡す前に、プレーンパスワードをソルトするのは良い習慣ですか？：

参考までに、phpsaltクラス：

phpassは、広く使用されているハッシュ「フレームワーク」です。phpassを評価HashPasswordしているときに、この奇妙なメソッドフラグメントに出くわしました。

*回答：このクラスは、検証の手段としてハッシュが等しいかどうかをテストすることを前提としていることに同意します。これが、このクラスをラップする理由です。これは、インターフェイスが優れていないためです。失敗した場合はfalseを期待します。

これは完全なphpsaltクラスです：

パスワードの暗号化として phpass を使用して、Web ページに自動ログイン機能を作成するにはどうすればよいでしょうか?

つまり、パスワードをチェックする方法は、CheckPassword メソッドに平文のパスワードと、そのパスワードのハッシュ化された文字列 (以前に保存されたハッシュ) を与えることです。次に、正しいかどうかに関係なく true/false を返します。

しかし、Web ページに自動ログイン機能を追加したい場合、パスワードをクリア テキストで Cookie に保存するのではなく、ハッシュ化された形式で保存する必要があります。そして、それらをどのように確認することになっていますか？私が見逃した別の方法はありますか、または CheckPassword は、クリアテキストとハッシュ化されたパスワードではなく、2 つのハッシュ化されたパスワードを受け入れますか?

前もって感謝します！

'portable_hashes'がオンになっている。何らかの理由で、生成されるハッシュが常に同じであるとは限らないことに気付きましたが、「CheckPassword」を通過すると常に有効として返されます。また、ハッシュの生成に「PHP_VERSION」が使用されていることにも気づきました。これら2つを組み合わせると、心配になります...移植性はどれくらいですか？サーバー、Linux、Windows、64ビット、32ビットなどの間でハッシュ（ユーザーデータベースに保存）を移動しても、検証してもらえますか？パスワードが検証されなくなるようにするにはどうすればよいですか？

私が尋ねる理由は、フレームワークでパスワードにphpassを使用しているためです。これにより、いくつかのサイトに電力が供給され、その多くには現在数千人のユーザーがいます。また、別のサーバーにパスワードを移動しなければならない場合もあります。 、そしてもちろんphpをアップグレードします。また、そのうちの1つまたは2つをApacheからオフにして、たとえばlighttpdなどに切り替えることもできます。言うまでもなく、私は非常に妄想的で、いつかサポートの悪夢に見舞われることになり、新しいパスワードを全員に電子メールで送信する以外の方法で修正することはできません（これは本当に安全ではないようです）。

パスワードが無効になる可能性が少しでもある場合、独自のパスワードハッシュジェネレータを作成するにはどのような手順を実行する必要がありますか？私はすでに16バイトのランダムソルト（ユーザーごと）を使用していますが、それ以外の唯一の問題はストレッチです-そうですか？

私は彼のワードプレスのユーザーID/パスワードに従ってユーザーの信憑性をチェックする必要があるアプリケーションに取り組んでいます。問題は、パスワードが正しいかどうかを確認する方法がわからないことです。

私はWordpressMD5Passwordで、wordpress 2.5 phpassの後、MD5の代わりにhttp://www.openwall.com/phpass/がwordpressパスワードに使用されていたことを読みました。

質問は、私が持っている場合

1. プレーンテキストのユーザー名パスワード
2. wp-config.phpからのwordpress認証の一意のキーとソルト
3. データベースアクセス

次に、方法：1.ユーザー名とパスワードの組み合わせが正しいかどうかを確認します。

2. ユーザーのパスワードを変更する

3. パスワードを忘れた実装を実装する

Wordpressバージョン3.0.4、約20のサイトで使用されているネットワークブログ。

私はネイティブのワードプレス機能でそれを行うべきであることを知っていますが、この場合、ワードプレス設定の性質のためにそれはオプションではありません。

私はこれに一週間以上費やしましたが、それでも無知です！助けていただければ幸いです。

Web サイトにユーザー登録スクリプト (Tank Auth) をインストールしています。

インストールガイドには、

警告: デフォルトでは、ライブラリは、移植できない強力なシステム固有のパスワード ハッシュを生成します。これは、一度作成されたユーザー データベースをダンプして別のサーバーにエクスポートできないことを意味します。この動作は構成ファイルでも変更できます。

これは私をジレンマに陥れました。将来、サーバーを変更したいかもしれませんが、脆弱なパスワードも必要ありません。ポータブルパスワードハッシュは大きなリスクですか? さらに重要なことに、ハッシュとは何を意味するのでしょうか? 文字の長さですか？

ログイン プロシージャに phpass を実装するのに苦労しています。現在のコードと一緒に実装する方法がわかりません。この件に関して2つの質問があります

1) ユーザーがこの行に入力したハッシュ化されたパスワードを、データベース内のハッシュ化されたパスワードで検証する必要があります。

これを示すインターネット上の例を探していましたが、見つかりませんでした。この時点でphpassを実装するにはどうすればよいですか?

2) 現在、私のデータベースのパスワード フィールドはvarchar(32)です。新しいユーザー パスワードをハッシュする際に切り捨てを防ぐために、これを調整する必要がありますか?

これが参照用の私のコード全体です。

よろしくお願いします

ところで PasswordHash.php には以下が含まれます:

保護はこれを行います：

申し訳ありませんが、これはばかげているかもしれませんが、Phpassについて私が理解していないことがあります。次のような安全なハッシュパスワードを作成できる場合：

後で次のように確認します。

つまり、論理的には、パスワードは特定のマシンでのみ読み取ることができるように保存する必要があります（そうでない場合、誰かが別のマシンの「CheckPassword」機能を使用してパスワードを取得する可能性があります）。Phpassはこれをどのように行いますか？

将来、Webサイトを新しいサーバーに移動する必要がある場合、これは問題になりませんか？サーバーに重大な障害が発生した場合にすべてのパスワードを回復できるように、データベースを安全にバックアップするにはどうすればよいですか？（私は何か明らかなものが欠けていますか？）

編集-以下のコメントに応えて、異なるマシンがそれに影響を与えない場合、ハッカーが私のデータベースにアクセスした場合、なぜ彼らは自分のマシンでCheckPasswordを実行して元のパスワードを取得できないのですか？申し訳ありませんが、明らかな何かが欠けているに違いありません。

編集2-くそー、私は明らかな何かが欠けていました。比較関数は、指定されたパスワードをハッシュされたパスワードと照合するだけで、trueまたはfalseを返します。実際にパスワード自体にアクセスする必要はありません。ばかげたことをお詫びします！

phpassそのため、php で認証システムのパスワードをハッシュするために使用する予定です。私の質問は、誰かがパスワードを忘れたためにパスワードの回復を要求した場合のベストプラクティスは何ですか? Q&A システムを実装し、サイト上でリセットできるようにしますか? それとも、ランダムなパスワード文字列でパスワードを一時的にリセットし、メールで送信しますか? 次回のログイン時に変更する必要がありますか? それとも、別のより良いアプローチがありますか？

私の質問は、フグに関して、crypt から取得するのと同じ結果を mcrypt から取得するにはどうすればよいですか?

パスワードのハッシュと検証に phpass フレームワークを使用したいと考えています。フグが に含まれているため、PHP 5.3 を使用している限り、これは非常にうまく機能しますcrypt()。私のホストは mcrypt ライブラリで PHP 5.2.x を実行しています。

ドキュメントを調べてクリプトでフグについてグーグルすると、結果は'$a2$'、2文字の反復値、'$'ソルト（パディングまたは22文字にカット）、ハッシュを表す32 base64文字列のようです。

MCRYPT_MODE_modenames私の問題は、私にとって意味のある の説明が見つからないことです。そして、必要な反復回数をどのようにフィードmcrypt()しますか? それとも、クロストランスレートしない異なる形式のフグを使用する 2 つの関数ですか?