問題タブ [phpass]

Phpassを使用して登録ユーザーのパスワードをハッシュし、データベースに保存しましたが、現在、送信されたユーザー名とパスワードを確認し、ユーザー名がデータベースに存在することを確認し、ハッシュされたパスワードを指定されたものと照合する方法でログインに行き詰まっています。

どんな助けでも大歓迎です!!! ありがとうございました！

これは私のコードです:

これは、他の人の利益のための私の作業コードです:

私はphpassマニュアルを読んでいます。ある時点で、次のようにハッシュの結果をチェックします。

それが phpass ハッシュの最小の長さであることは理解していますが、なぜ失敗するのかわかりません。それは可能ですか？つまり、それが起こった場合、誰/何を責めるべきですか? それを防ぐ方法は？これについては、ウェブページにもコメントを投稿しました。

PasswordHash::HashPassword()参考までに、この質問のコードを見つけることができます: How can * be a safe hashed password?

メインのWordpressサイト以外のいくつかのWebページでパスワード保護を行う必要があります。ユーザーは、Wordpressですでに持っているユーザー名とパスワードを使用することを好みます。

明らかな解決策は、Mysqlベースの認証にApaceモジュールを使用することであるように思われます：mod-auth-mysql。

ただし、Wordpressはmod-auth-mysqlでサポートされていないPhpassパスワード暗号化を使用しているため、これは不可能のようです。

• http://modauthmysql.sourceforge.net/CONFIGURE
• http://www.openwall.com/phpass/
• https://wordpress.stackexchange.com/questions/32004/how-to-validate-wordpress-generated-password-in-db-using-php

この制限を回避する方法はありますか？

私は現在、 PHP 5.3 でphpassを使用してバックエンド データベースにユーザー パスワードを格納する Web サービスを使用しているため、 CRYPT_BLOWFISH. 私はそのサーバーから API を公開しており、iPhone アプリからその API を介してユーザーを認証したいと考えています。サーバーは SSL を使用していますが、転送する前にパスワードをハッシュしたいと考えています。

Objective-C から phpass 互換のハッシュを作成するにはどうすればよいですか?

セキュリティに対する理論的および技術的な議論のために、phpassを新しいアプリケーションに実装しようとしています。もちろん、これは唯一のセキュリティではありませんが、パスワードをハッシュするために、これは利用可能な最高のもののように私には思えます。

しかし、そのソースコードを見ると、私は本当に満足していません。これは、特にセキュリティに関しては、私の最も基本的なコード規則のいくつかに反します。

===セキュリティに関するコードでは、常に同じ演算子（）を使用します。

{私はいつもif付きの中括弧を使用します。同じ線上にあるかどうかはそれほど重要ではありませんが、可能であっても省略しただけでは気分が良くありません。

また、CRYPT_BLOWFISHメソッドを強制する方法はありません。今のところ、私は自分のラッパーで長さが正確に60文字になるようにチェックすることでそれを行っています。

誰かが更新されたバージョンを知っているかどうか疑問に思いましたか？たった一人の人よりも大きなコミュニティによって維持され、チェックされている改善されたもの？著者自身がすでに示唆しているように、たとえばバッファなしの読み取りなど、PHP5のすべての可能な使用法を可能にする新しいバージョン？

あるいは、本当の理由もなく、私はただ妄想しているだけなのかもしれません。

phpass テスト プログラムhttp://www.openwall.com/phpass/phpass-0.3.tar.gzまたは python-phpass を使用し、プレーン テキストのパスワードにC?*|Y[j"KQ'%gfを使用します。 、および$P$9kS6tD8tVxajypvJ5837.bt2emepD8/をハッシュとして、次のように実行します。

ハッシュは phpBB3 (3.0.10) のもので、そのパスワードを phpBB3 に渡すと正しく機能します。

phpBB3 は、$P$ の代わりに $H$ を実行して、phpass 自体を使用することになっています。

この例の phpBB3 のデータベース エントリは次のとおりです。

qlc4pi000000";0;"127.0.0.1";1351902499;"testpass";"testpass";"$H$9kS6tD8tVxagypvJ5837.bt2emepD8/";1351902499;0;"tp@inva.lid.com";266402289712;"'' ";1351902544;1351902499;0;"''";"''";0;0;0;0;0;0;0;"en";0.00;0;"DM d, Y g:i a"; 2;0;"''";0;0;0;0;-3;0;0;"t";"d";0;"t";"a";0;1;0;1; 1;1;1;230271;"''";0;0;0;"''";"''";"''";"''";"''";"''";" ''";"''";"''";"''";"''";"''";"''";"''";"bf4ae169a5a21313";1;0;0

phpBB3 で使用されるプレーン テキストのパスワードは [C?*|Y[j"KQ'%gf] であり、ハッシュ (phpBB3 形式から変換されたものは [$P$9kS6tD8tVxagypvJ5837.bt2emepD8/] です) (パスワードとハッシュの両方が [] の間にあります) )

何が起こっているのか、なぜこれが phpass で機能しないのか、誰かが光を当てることができますか? これはフォーラムと同じマシン上にあり、phpBB3 フォーラムでも機能するため、問題なくログインできます。phpBB3 データベースに直接アクセスすると、外部から phpass で認証できないだけです。ただし、他のアカウントでも機能しますが、失敗するのは特定のアカウントのみです。

phpass での登録は成功していますが、ログイン認証が機能していません。助けてください。3 日経ちましたが、このエラーについて頭を悩ませています。

関数の登録 (正常に動作し、"$2a$08$fpFjM" のようなデータベースにスラッシュされたパスワードを追加します)

新しいサイトで PHPass を使用しようとしています。次のようなハッシュを生成し、データベースに保存しました。

ログイン ページで、ユーザーを取得し、CheckPassword を使用して同じかどうかを確認します。

$user['password']私が保存した正しいハッシュが含まれているので、それが正しいことがわかります。$passwordフォームから渡されたプレーンテキストのパスワードです。CheckPassword()常に false を返しますが、今朝熟読したすべてのチュートリアルから、これは正しいように見え、機能するはずです。$hasherは同じ方法で作成され、コストは 8、ポータブルは true に設定されます。

CheckPassword が常に false を返す理由がわかりません。CheckPassword のハッシャーを、ハッシュしたときとは異なる方法で初期化する必要がありますか? 簡単なものがありませんか？

CentOS 6.3でPHP 5.3.19を実行していますが、違いがある場合は.

私は現在のプロジェクトでphpassを使用しており、プロジェクトの一部はパスワードの取得を扱っているので、知りたいこと：phpassを使用してハッシュされたphpassを使用してパスワードをハッシュ解除し、（電子メールで）送信できるようにすることは可能ですか？かわった？

現在、phpassを使用していますが、コンピューターを交換したため、保存されているパスワードの長さが変更されました。とにかく始めたばかりだったので、エクスポート/インポートではなく、ローカルホストで作業を行ってデータベースを再作成しました。

つまり、基本的に同じコードを再利用しましたが、現在は別の（同じ値、テーブルなどと考えられている）データベースを使用しています。

パスワードは次のように見えましたが、初めて$2a$08QWasd1234FqrgA54gWERGw4$ijy2

彼らはかなり長かった。

二度目はこんな感じ$2a$08$nUkQ

これはなぜですか、そしてそれはどのくらいの懸念事項である必要がありますか？