Bibliothèque de hachage en PHP8.0 : Bcrypt-tutoriel php-php.cn

Bibliothèque de hachage en PHP8.0 : Bcrypt

WBOY

Libérer： 2023-05-14 12:22:01

original

1782 Les gens l'ont consulté

En PHP8.0, la bibliothèque de fonctions de hachage introduit un nouvel algorithme de hachage : Bcrypt. Bcrypt est une fonction de hachage de mot de passe qui limite la longueur maximale du mot de passe saisi et augmente considérablement la sécurité du piratage du mot de passe en augmentant la complexité de l'algorithme.

Avant PHP8.0, les fonctions de hachage de mot de passe utilisaient principalement des algorithmes tels que MD5 ou SHA-1. La faiblesse de ces algorithmes est que les valeurs de hachage qu'ils produisent sont très courtes, seulement 32 ou 40 octets. Dans ce cas, l’attaquant peut déchiffrer le mot de passe via la méthode de la force brute. En revanche, Bcrypt est un algorithme de hachage plus sécurisé en raison de la longueur de sa valeur de hachage plus longue et de sa difficulté d'inversion.

La particularité de l'algorithme Bcrypt est qu'il limite la longueur du mot de passe saisi à 72 caractères. Cette restriction a pour but d'empêcher certains utilisateurs malveillants d'exploiter les vulnérabilités de l'algorithme de hachage pour mener des attaques. D'un autre côté, Bcrypt peut également utiliser plusieurs séries de calculs itératifs de valeurs de hachage pour augmenter la complexité et le temps nécessaire au piratage des mots de passe.

En plus des limites de longueur des mots de passe et des multiples séries de calculs itératifs, l'algorithme Bcrypt introduit également le concept de « sel ». Le sel est une chaîne aléatoire de caractères ajoutée au mot de passe d'origine pour générer la valeur de hachage finale. Cette approche peut empêcher les attaquants d’utiliser des outils tels que les tables arc-en-ciel pour inverser les résultats de hachage. Dans le même temps, le sel peut également rendre le résultat de hachage différent à chaque fois, ce qui augmente la difficulté pour les attaquants d'utiliser des méthodes plus complexes pour déchiffrer le mot de passe.

Les fonctions liées à PHP8.0 qui utilisent l'algorithme Bcrypt pour le hachage de mot de passe incluent principalement les suivantes :

password_hash
Cette fonction est utilisée pour générer une valeur de hachage d'un mot de passe. La signature de la fonction est :

string password_hash(string $password, int $algo, array $options = array())string password_hash(string $password, int $algo, array $options = array())

其中，$password 是待哈希的原始密码，$algo 是哈希算法类型，$options 则是配置参数。在使用 Bcrypt 进行密码哈希时，$algo 的取值应该是 PASSWORD_BCRYPT。

password_verify
该函数用于验证一个密码与其哈希值是否一致。函数签名为：

bool password_verify(string $password, string $hash)

其中，$password 是待验证的密码，$hash 是已经生成的密码哈希值。如果密码和哈希值一致，则返回 true，否则返回 false。

password_needs_rehash
该函数用于验证一个哈希值是否需要重新计算。函数签名为：

bool password_needs_rehash(string $hash, int $algo, array $options = array())

où $password est le mot de passe d'origine à hacher, $algo est Type d'algorithme de hachage, $options sont des paramètres de configuration. Lorsque vous utilisez Bcrypt pour le hachage de mot de passe, la valeur de $algo doit être PASSWORD_BCRYPT.

Cette fonction permet de vérifier si un mot de passe est cohérent avec sa valeur de hachage. La signature de la fonction est :

bool password_verify(string $password, string $hash)

bool password_needs_rehash(string $hash, int $algo, array $options = array())

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!