Articles of phpass

Страница регистрации: сохранение пароля с использованием PHPASS

Я пытаюсь хранить пароли пользователей с помощью phpass, но я стараюсь его правильно реализовать. У меня был рабочий код, но я сохранял свой пароль в виде текста, который, как я узнал, небезопасен. Согласно phpbestpractices.org, самым безопасным способом является phpass, поэтому я пошел. Я попробовал прочитать их учебник, но он немного опережает мой диапазон навыков. Изменения, […]

Использование PHPass для хеш-пароля

Я использую PHPASS для хранения зашифрованных паролей и сравнения при входе в систему. вот код ob_start(); $userName = $password = ""; $userNameErr = $passwordErr = $loginErr = ""; $hasher = new PasswordHash(8, false); if (isset($_POST['subEmployee'])) { if (empty($_POST['user_name'])) { $userNameErr = "User name is required"; } else { $userName = check_input($_POST['user_name']); if (!preg_match("/^[0-9_a-zA-Z]*$/", $userName)) { […]

Как * быть безопасным хешированным паролем?

phpass – широко используемая хэш-система. Оценивая phpass ' HashPassword я наткнулся на этот фрагмент нечетного метода. function HashPassword($password) { // <snip> trying to generate a hash… # Returning '*' on error is safe here, but would _not_ be safe # in a crypt(3)-like function used _both_ for generating new # hashes and for validating passwords […]

Правильное засоление и использование PHPass

Я использую PHPass для хэширования своих паролей в течение длительного времени. Я признаю, что все еще есть вещи, которые я не совсем понимаю (или игнорирую), чтобы правильно хешировать пароль, поэтому сегодня я просматривал всю информацию, которую я мог найти об этом. Пересматривая документы PHPass, я сделал следующее: Помимо фактического хэширования, phpass прозрачно генерирует случайные соли, […]

Проверьте, действует ли ограничение open_basedir

При использовании PHPass ( http://www.openwall.com/phpass/ ) появляется следующее предупреждение: open_basedir restriction in effect. File(/dev/urandom) is not within the allowed path(s) Хотя это не большая проблема (она вернется к чему-то еще), я бы не хотел этого предупреждения. Приложение PHP должно запускаться на разных серверах, некоторые пользователи смогут добавить этот путь к разрешенным путям open_basedir, но другие […]

Какая польза от «случайной» соли над «уникальной» солью?

В настоящее время я пишу программу, и часть ее включает надежное создание хэшей для хранения в базе данных, и я столкнулся с инфраструктурой phpass , которая, как представляется, настоятельно рекомендуется. В phpass они, по-видимому, проходят большую длину, чтобы получить соль, которая по-настоящему случайна, чтобы ее можно было использовать для хэшей (например, чтение из / dev […]

phpass возвращает разные результаты

Я просто поместил свой проект из localhost на свой хост и используя ту же функцию (phpass), я получаю разные результаты, а длина возвращаемой строки также различна. (и все работает на localhost btw) Таким образом, одна и та же функция возвращает false в режиме онлайн. Мне было интересно, в чем проблема. Вот результат: Вход: 12345 localhost […]

Правильная реализация PHPass

Я использую PHPass для хранения паролей пользователей в своем приложении, потому что он более безопасен, чем md5 или sha1. У меня вопрос о том, как использовать соль с паролями. Из того, что я собрал, я использую его так, когда вы вставляете пользователя: $pwdHasher = new PasswordHash(8, false); $hash = $pwdHasher->HashPassword($input_password); а затем, когда вы проверяете […]

Могу ли я получить доступ к / dev / urandom с помощью open_basedir?

Я хочу использовать phpass-0.3 в Codeigniter, но я получаю следующую ошибку из-за open_basedir : Возникла ошибка PHP Уровень важности: предупреждение Сообщение: is_readable () [function.is-readable]: действующее ограничение open_basedir. Файл (/ dev / urandom) не входит в допустимые пути: (/ home / phginep: / usr / lib / php: / usr / local / lib / php: […]

Хранение паролей портативных (PHPass). Должен ли я использовать их?

Я устанавливаю скрипт регистрации пользователя (Tank Auth) для моего сайта. В руководстве по установке говорится: ПРЕДУПРЕЖДЕНИЕ. По умолчанию библиотека генерирует жесткие системные хэши паролей, которые не переносятся. Это означает, что после создания пользовательская база данных не может быть сброшена и экспортирована на другой сервер. Это поведение также можно изменить в файле конфигурации. Это поставило меня […]