Articles of пароли

Как password_verify проверять пароли без знания соли и стоимости?

Функция password_verify () в новом API паролей PHP проверяет, соответствует ли пароль хэшу. Хэш генерируется password_hash () , который по умолчанию использует случайную соль и cost = 10 . Я всегда думал (хотя я никогда не изучал его), что вам нужно хранить соль внутри базы данных, а затем, когда вы хотите проверить пароль, хешируйте ее […]

Должен ли я хранить хэши для паролей?

Система пользователя и пароли: я просматривал материал MD5, и мне интересно, какая нормальная / хорошая практика для паролей. Прямо сейчас, я думаю, люди супер шифруют пароли и хранят хеши. Если да, то как работает проверка пароля? Я только что пароль ввода снова проходит процесс шифрования, а затем проверяет хэш с сохраненным, правильно? Этот вопрос может […]

Почему «забытый пароль» плох?

Я натолкнулся на это утверждение Не используйте функциональность «забытый пароль». Но если вы должны, убедитесь, что вы предоставляете информацию только фактическому пользователю, например, используя адрес электронной почты или вопрос о вызове, который уже предоставил законный пользователь в прошлом; не позволяйте текущему пользователю изменять эту идентификационную информацию до тех пор, пока не будет указан правильный пароль. […]

PHP / PAM для изменения пароля пользователя?

Существуют ли какие-либо рабочие пакеты для изменения паролей пользователей Linux с помощью PHP? Я пытался использовать PECL: PAM, но это ошибка при попытке изменить пароль. Редактировать: PHP-код: echo pam_chpass($username, $password, $new_pass, &$error) ? 'good' : $error; Выход PHP (echo): Permission denied (in pam_authenticate) Из / var / log / auth (это на самом деле из-за […]

Какая реализация bcrypt рекомендуется для PHP 5.3?

Хорошо, я, наконец, понимаю bcrypt, как это работает и как его хранить в БД, поэтому я почти готов к работе. Теперь проблема заключается в выборе, какую реализацию bcrypt использовать с PHP 5.3 . Я схожу с ума, глядя на все различные решения, и я не уверен, какой из них наиболее рекомендуется и безопаснее в использовании, […]

увеличение временной задержки для входа в систему, чтобы остановить перебор, хорошая идея?

Я установил свой db для регистрации каждой неудачной попытки входа в систему. Я думал, что умножу количество неудачных попыток с 0,05 секунды или что-то в этом роде. Что-то вроде: time_nanosleep(0, (50000000 * $failed_attempts ) ); Больше попыток, которые хакер использует для угадывания пароля, требуется больше времени, чтобы проверять каждый раз. После проверки 100 паспортов он […]

Каковы наилучшие методы шифрования паролей, хранящихся в MySql, с использованием PhP?

Я ищу совет о том, как безопасно хранить пароли в MySQL с помощью PHP. Оглядываясь на ограничения самого PHP, я хочу узнать больше о соле, хэшировании и шифровании этих плохих мальчиков. Очевидно, что люди будут продолжать использовать слабые пароли, если не будут вынуждены делать иначе, но именно так я храню их, что важно для меня. […]

Выполнение требований пароля

Я хочу проверить, успешно ли пользователь выполнил следующие требования: Пароль имеет не менее 8 символов Состоит из одной столицы и одной строчной буквы Как мне это сделать? Я использую скрипт PHP ниже: if ( strlen( $password ) < 8 ) { false } else { if ( preg_match( "/[^0,9]/", $password ) ) { // how […]

Может ли кто-нибудь подтвердить, что phpMyAdmin AllowNoPassword работает с базами данных MySQL?

У меня есть версия phpMyAdmin, расположенная на моем локальном сервере Apache. Я пытаюсь войти без пароля, однако phpMyAdmin продолжает бросать предупреждение: вход без пароля запрещен конфигурацией (см. AllowNoPassword) Однако в моем файле config.php для phpMyAdmin я установил: $cfg['Servers'][$i]['AllowNoPassword'] = TRUE; Поэтому я не знаю, почему сообщение все еще появляется.

Каков наилучший способ реализации двухстороннего шифрования с помощью PHP?

Я хотел бы зашифровать пароли на моем сайте, используя двухстороннее шифрование в PHP. Я столкнулся с библиотекой mcrypt, но она кажется такой громоздкой. Кто-нибудь знает о других методах, которые проще, но еще безопасны? У меня есть доступ к Zend Framework, поэтому решение, использующее его, также будет работать. Мне действительно нужно двухстороннее шифрование, потому что мой […]