問題タブ [phpass]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
php - phpass は異なる結果を返します
プロジェクトを localhost からホストに配置し、同じ (phpass) 関数を使用すると、異なる結果が返され、返される文字列の長さも異なります。(そして、すべてがローカルホストで動作します)
したがって、オンラインの場合、同じ関数は false を返します。何が問題なのだろうと思っていました。
結果は次のとおりです。
入力: 12345
- ローカルホスト:$2a$08$t5joFUIbEThylj/IyUVy7.WzMZm8fmKjsy0kZc/YxgqzkbYQWnlre
- ホスト: $P$9QiKVfJzpRzoToBCJg8FeaDIfcAJJ61
編集:パスワードを移植可能にするためにTRUEフラグをオンにしましたが、それでも機能しないようです。
編集 2: php 4 または 5 では動作せず、ポータブル モードに切り替えました!!
wordpress - PHPass を使用して同じパスワード ハッシュを生成する
WordPress から Codeigniter で開発されたカスタム CMS にサイトを変換中です。Wordpress は PHPass を使用してパスワードをハッシュすると言われたため、パスワードをリセットまたは変更することなくユーザーをシームレスに移行するために、PHPass ライブラリ (このサイトで概説されているように) を使用しています。
私のアプリケーションでは正常に動作していますが、Wordpress が使用するのと同じパスワード ハッシュを生成していません。ある種のサイトキーに関連していると思いますが、運がありません. PHPass に同じパスワード ハッシュを生成させるにはどうすればよいですか?
codeigniter - Codeigniter を使用して Phpass でファイルを読み取る
CIコントローラーでPhpass 0.3を使用しているときにこのエラーが発生します
メッセージ: is_readable() [function.is-readable]: open_basedir 制限が有効です。ファイル (/dev/urandom) が許可されたパス内にありません: (/home/:/usr/lib/php:/usr/local/lib/php:/tmp)
ファイル名: phpass-0.3/PasswordHash.php
誰かが私に問題を教えてもらえますか?
php - PHP - phpass 0.2 のトラブル
ユーザーがサインアップおよびログイン時にパスワードを入力するときにphpassを使用しています。Macでローカルに作業しているときに機能しています。
しかし、オンラインでパスワードをハッシュすると、間違った方法でハッシュしているように見えます。
ローカル データベースをオンライン データベースにインポートしました。また、ローカルにいたときに生成されたパスワードは、オンラインのときにも完璧に機能します。
そう.. phpass online を使用していると、何かが完全にうまくいかないような気がします。
私はこのように使用しています:
これは私に次のようなものを与えるでしょう:
パスワードを確認すると、次のようになります。
何が悪いのか全くわかりません。SOの誰かが同じ問題を抱えていることを望んでいました。
database - Codeigniter TankAuth:phpass hashポータブルをFALSEに設定して、データベースを新しいサーバーに移動する方法
TankAuthは、ポータブルモードがデフォルトでFALSEに設定されたパスワードハッシュにPHPassを使用します。これにより、ポータブルハッシュはハッシュにソルトを格納しないため、PHPassは代わりにbcriptを使用できます。
ただし、データベースを別のサーバーに移動する場合は、後でパスワードが再生成されないように、テーブルにレコードを追加する前でも、データベースをTRUEに設定する必要があります。明らかに、ポータブルハッシュをTRUEに保つと、暗号化されたパスワードは非常に危険になります
タンク認証を使用してパスワードハッシュをbcryptし、サーバー間でデータベースを簡単に移行するためのより良いソリューションはありますか?
php - 異なるソルトを使用するphpassCheckPassword?
ユーザーエリアと管理エリアのあるサイトがあります。管理者エリアには、ユーザーを作成するためのページと管理者を作成するためのページがあります。ユーザーと管理者のページで、以下のコードを使用してパスワードをハッシュしました。
ユーザーページの場合、パスワードを確認するためのコードは次のとおりです。
これは完全に正常に機能します。私のユーザーパスワードはハッシュ化されており、パスワードを正しくチェックします。管理者ログインページで同じコードを使用していますが、機能していません。データベースから正しい情報を取得しますが、CheckPasswordを使用すると、パスワードが一致しません。パスワードの最初の部分は同じように見えるので、それは塩漬けと関係があるのではないかと思います。
ちなみに、私はPHP4.3を使用しています。
codeigniter - Phpassが機能しない
アカウントの作成時にパスワードをハッシュしていますが、(パスワードを VARCHAR(60) に設定して) 機能していますが、これを実行しようとすると:
常に false を返します。これがなぜなのかについてのアイデアはありますか?(私が提供しているパスワードは正しいです)
php - パスワードハッシュ、ログイン時のソルトとハッシュの更新、およびPHPass
パスワードをチェックするプロセスが次のようになったスキームについて読んだことを覚えています。
- データベースで与えられた(ハッシュ、ソルト)、
- ハッシュと照合するためのソルト付きハッシュパスワード、
- ソルトとして古いハッシュを使用したハッシュパスワード、
- データベースに(新しいハッシュ、ソルト、別名古いハッシュ)を保存します。
元のソースが見つかりません。とにかく分かりません
(ランダムソルトを使用するのではなく)ソルトとして古いハッシュを使用することの利点は何ですか?
このスキームの一般的な利点は何ですか(レインボーテーブル攻撃をさらに複雑にしますか?)、そして
利点がある場合、ソルトはPHPassの「内部」で管理されているように見えるため、PHPassを使用してスキームをどのように適用するか...
直感的には、このスキームはせいぜい何もしないか、最悪の場合(過去の値に依存しているため)セキュリティを悪化させると思いますが、パスワードセキュリティは私の直感を信頼できない領域の1つです。教えてください。
編集:
チェックごとにパスワードを再ハッシュすることについて質問しています。これらの同様の質問は、最初の質問(ハッシュをソルトとして使用することは役に立たない)に答えますが、各チェックで再ハッシュすることが有用かどうかはわかりません。
php - 適切な塩漬けとPHPassの使用
私は長い間、PHPassを使用してパスワードをハッシュしています。パスワードを適切にハッシュするために完全に理解していない(または無視している)ことがまだあることを認めます。そのため、今日、私はパスワードについて見つけたすべての情報を確認していました。
PHPassドキュメントを確認して、私はこれに足を踏み入れました:
実際のハッシュに加えて、phpassは、新しいパスワードまたはパスフレーズがハッシュされると、ランダムなソルトを透過的に生成し、ハッシュタイプ、ソルト、およびパスワード拡張反復カウントを、返す「ハッシュエンコーディング文字列」にエンコードします。phpassは、保存されているハッシュに対してパスワードまたはパスフレーズを認証するときに、同様に透過的にハッシュタイプ識別子、ソルト、および「ハッシュエンコーディング文字列」からの反復カウントを抽出して使用します。したがって、あなたは自分で塩漬けやストレッチを気にする必要はありません-phpassはあなたのためにこれらを世話します。
気になった文章を太字にしました。
私はいつも、塩は攻撃者に知られてはならないという意味で、いくらか秘密にすべきだと思っています。したがって、正しく理解されていれば、PHPassは同じハッシュで使用されているソルトを保存するため、パスワードを比較して有効かどうかを確認するときに使用できます。
私の質問は
- これは安全ですか?ハッシュが危険にさらされている場合、攻撃者はパスワードのハッシュに使用されるソルトを持っています...ここで私が見逃していることがあります。
- 私はここでパスワードのソルトについて本当に自由に悩んでいますか?本当にPHPassに頼ることができますか?