問題タブ [phpass]

For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.

0 投票する
3 に答える
700 参照

php - phpass は異なる結果を返します

プロジェクトを localhost からホストに配置し、同じ (phpass) 関数を使用すると、異なる結果が返され、返される文字列の長さも異なります。(そして、すべてがローカルホストで動作します)

したがって、オンラインの場合、同じ関数は false を返します。何が問題なのだろうと思っていました。

結果は次のとおりです。

入力: 12345

  • ローカルホスト:$2a$08$t5joFUIbEThylj/IyUVy7.WzMZm8fmKjsy0kZc/YxgqzkbYQWnlre
  • ホスト: $P$9QiKVfJzpRzoToBCJg8FeaDIfcAJJ61

編集:パスワードを移植可能にするためにTRUEフラグをオンにしましたが、それでも機能しないようです。

編集 2: php 4 または 5 では動作せず、ポータブル モードに切り替えました!!

0 投票する
2 に答える
3944 参照

wordpress - PHPass を使用して同じパスワード ハッシュを生成する

WordPress から Codeigniter で開発されたカスタム CMS にサイトを変換中です。Wordpress は PHPass を使用してパスワードをハッシュすると言われたため、パスワードをリセットまたは変更することなくユーザーをシームレスに移行するために、PHPass ライブラリ (このサイトで概説されているように) を使用しています。

私のアプリケーションでは正常に動作していますが、Wordpress が使用するのと同じパスワード ハッシュを生成していません。ある種のサイトキーに関連していると思いますが、運がありません. PHPass に同じパスワード ハッシュを生成させるにはどうすればよいですか?

0 投票する
1 に答える
696 参照

codeigniter - Codeigniter を使用して Phpass でファイルを読み取る

CIコントローラーでPhpass 0.3を使用しているときにこのエラーが発生します

メッセージ: is_readable() [function.is-readable]: open_basedir 制限が有効です。ファイル (/dev/urandom) が許可されたパス内にありません: (/home/:/usr/lib/php:/usr/local/lib/php:/tmp)

ファイル名: phpass-0.3/PasswordHash.php

誰かが私に問題を教えてもらえますか?

0 投票する
1 に答える
145 参照

php - PHP - phpass 0.2 のトラブル

ユーザーがサインアップおよびログイン時にパスワードを入力するときにphpassを使用しています。Macでローカルに作業しているときに機能しています。

しかし、オンラインでパスワードをハッシュすると、間違った方法でハッシュしているように見えます。

ローカル データベースをオンライン データベースにインポートしました。また、ローカルにいたときに生成されたパスワードは、オンラインのときにも完璧に機能します。

そう.. phpass online を使用していると、何かが完全にうまくいかないような気がします。

私はこのように使用しています:

これは私に次のようなものを与えるでしょう:

パスワードを確認すると、次のようになります。

何が悪いのか全くわかりません。SOの誰かが同じ問題を抱えていることを望んでいました。

0 投票する
1 に答える
557 参照

database - Codeigniter TankAuth:phpass hashポータブルをFALSEに設定して、データベースを新しいサーバーに移動する方法

TankAuthは、ポータブルモードがデフォルトでFALSEに設定されたパスワードハッシュにPHPassを使用します。これにより、ポータブルハッシュはハッシュにソルトを格納しないため、PHPassは代わりにbcriptを使用できます。

ただし、データベースを別のサーバーに移動する場合は、後でパスワードが再生成されないように、テーブルにレコードを追加する前でも、データベースをTRUEに設定する必要があります。明らかに、ポータブルハッシュをTRUEに保つと、暗号化されたパスワードは非常に危険になります

タンク認証を使用してパスワードハッシュをbcryptし、サーバー間でデータベースを簡単に移行するためのより良いソリューションはありますか?

0 投票する
2 に答える
1386 参照

php - 異なるソルトを使用するphpassCheckPassword?

ユーザーエリアと管理エリアのあるサイトがあります。管理者エリアには、ユーザーを作成するためのページと管理者を作成するためのページがあります。ユーザーと管理者のページで、以下のコードを使用してパスワードをハッシュしました。

ユーザーページの場合、パスワードを確認するためのコードは次のとおりです。

これは完全に正常に機能します。私のユーザーパスワードはハッシュ化されており、パスワードを正しくチェックします。管理者ログインページで同じコードを使用していますが、機能していません。データベースから正しい情報を取得しますが、CheckPasswordを使用すると、パスワードが一致しません。パスワードの最初の部分は同じように見えるので、それは塩漬けと関係があるのではないかと思います。

ちなみに、私はPHP4.3を使用しています。

0 投票する
1 に答える
677 参照

codeigniter - Phpassが機能しない

アカウントの作成時にパスワードをハッシュしていますが、(パスワードを VARCHAR(60) に設定して) 機能していますが、これを実行しようとすると:

常に false を返します。これがなぜなのかについてのアイデアはありますか?(私が提供しているパスワードは正しいです)

0 投票する
1 に答える
213 参照

php - パスワードハッシュ、ログイン時のソルトとハッシュの更新、およびPHPass

パスワードをチェックするプロセスが次のようになったスキームについて読んだことを覚えています。

  1. データベースで与えられた(ハッシュ、ソルト)、
  2. ハッシュと照合するためのソルト付きハッシュパスワード、
  3. ソルトとして古いハッシュを使用したハッシュパスワード、
  4. データベースに(新しいハッシュ、ソルト、別名古いハッシュ)を保存します。

元のソースが見つかりません。とにかく分かりません

  1. (ランダムソルトを使用するのではなく)ソルトとして古いハッシュを使用することの利点は何ですか?

  2. このスキームの一般的な利点は何ですか(レインボーテーブル攻撃をさらに複雑にしますか?)、そして

  3. 利点がある場合、ソルトはPHPassの「内部」で管理されているように見えるため、PHPassを使用してスキームをどのように適用するか...

直感的には、このスキームはせいぜい何もしないか、最悪の場合(過去の値に依存しているため)セキュリティを悪化させると思いますが、パスワードセキュリティは私の直感を信頼できない領域の1つです。教えてください。

編集:

チェックごとにパスワードを再ハッシュすることについて質問しています。これらの同様の質問は、最初の質問(ハッシュをソルトとして使用することは役に立たない)に答えますが、各チェックで再ハッシュすることが有用かどうかはわかりません。

0 投票する
3 に答える
949 参照

php - 適切な塩漬けとPHPassの使用

私は長い間、PHPassを使用してパスワードをハッシュしています。パスワードを適切にハッシュするために完全に理解していない(または無視している)ことがまだあることを認めます。そのため、今日、私はパスワードについて見つけたすべての情報を確認していました。

PHPassドキュメントを確認して、私はこれに足を踏み入れました:

実際のハッシュに加えて、phpassは、新しいパスワードまたはパスフレーズがハッシュされると、ランダムなソルトを透過的に生成し、ハッシュタイプ、ソルト、およびパスワード拡張反復カウントを、返す「ハッシュエンコーディング文字列」にエンコードします。phpassは、保存されているハッシュに対してパスワードまたはパスフレーズを認証するときに、同様に透過的にハッシュタイプ識別子、ソルト、および「ハッシュエンコーディング文字列」からの反復カウントを抽出して使用します。したがって、あなたは自分で塩漬けやストレッチを気にする必要はありません-phpassはあなたのためにこれらを世話します。

気になった文章を太字にしました。
私はいつも、塩は攻撃者に知られてはならないという意味で、いくらか秘密にすべきだと思っています。したがって、正しく理解されていれば、PHPassは同じハッシュで使用されているソルトを保存するため、パスワードを比較して有効かどうかを確認するときに使用できます。
私の質問は

  1. これは安全ですか?ハッシュが危険にさらされている場合、攻撃者はパスワードのハッシュに使用されるソルトを持っています...ここで私が見逃していることがあります。
  2. 私はここでパスワードのソルトについて本当に自由に悩んでいますか?本当にPHPassに頼ることができますか?