Как зашифровать пароль как в laravel, но без laravel?

Question

Сергей Васильев @Romo4ka_eto_ia

Просто человек

PHP

Как зашифровать пароль как в laravel, но без laravel?

Здравствуйте, у меня есть база данных основанная на Laravel, пароли, сессии, все зашифровано через него. Я нашел файл, который шифрует пароли, там используется метод шифрования AES-256-CBC для которого нужен ключ длиной 32 символа, но в конфиге laravel есть только ключ:

base64:d2Z0DhjLxL24LyiQ7iJEae4YVBuufKy8T3QdEsma1DM=

Я пробовал декодировать его через base64, ничего путного не получилось, ключа длиной 32 символа никак не получается.
(Вот сам файл), который декодирует пароли, в нем тоже нет особо никаких действий с ключом, просто проверяется на длину в 32 символа и каким-то образом получается true.

Вопрос задан более двух лет назад
184 просмотра

8 комментариев

Подписаться 1 Простой 8 комментариев

Fedor Vlasenko @VlasenkoFedor

Хранятся не пароли, а их хеши
Хеши не декодируется.
Когда пользователь идентифицируется с помощью пароля от его пароля получают хеш и сравнивают его с хранимым в базе

Написано более двух лет назад
SagePtr @SagePtr

ключа длиной 32 символа никак не получается.

Как это не получается? https://3v4l.org/pFoQO

Написано более двух лет назад
Сергей Васильев @Romo4ka_eto_ia Автор вопроса

SagePtr, Да, разобрался, что то тупил, теперь появилась еще одна проблема, методом который как в файле создается случайный хеш всё время, даже если используются одни и те же данные

Написано более двух лет назад
SagePtr @SagePtr

Сергей Васильев, а кто сказал, что хэш всегда должен одинаковый создаваться? По правилам хорошего тона используется случайная соль

Написано более двух лет назад
Сергей Васильев @Romo4ka_eto_ia Автор вопроса

SagePtr, а каким тогда образом я могу сравнить хеш введенного пароля и того что в базе. Что то не догоняю

Написано более двух лет назад
SagePtr @SagePtr

Сергей Васильев, посолить с той же солью и сравнить

Написано более двух лет назад
Mylistryx @Mylistryx

SagePtr, ну что за бред? https://www.php.net/manual/ru/function.password-ve...
Много лет уже как.

Написано более двух лет назад
SagePtr @SagePtr

Mylistryx, я про то, как математически этот процесс реализован (что хеши не совпадают, но при этом проверка возможна), а не про наличие функций в PHP. Не собирался запутывать автора, который начнёт пытаться к своему велосипеду применить функцию password_verify и обломается.

Написано более двух лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

PHP

+3 ещё

Простой
Почему не срабатывает ссылка подтверждения регистрации в Symfony 6?
- 1 подписчик
- 2 часа назад
- 24 просмотра
1

ответ
PHP

+1 ещё

Простой
Почему может возникать mysql ошибка 2006, если timeout 28800?
- 1 подписчик
- 13 часов назад
- 39 просмотров
1

ответ
PHP

+1 ещё

Простой
Как вывести сумму значений из MySQL в общую таблицу?
- 1 подписчик
- 23 часа назад
- 81 просмотр
1

ответ
PHP

+1 ещё

Простой
Почему unserialize возвращает пустое значение?
- 1 подписчик
- вчера
- 69 просмотров
2

ответа
PHP

+1 ещё

Средний
Как настроить карусель в WordPress при добавлении нового типа поста с классами Bootstrap (active)?
- 1 подписчик
- 28 апр.
- 23 просмотра
2

ответа
PHP

Простой
Переход с MD5 на SHA256 что нужно сделать чтобы работало)?
- 1 подписчик
- 28 апр.
- 247 просмотров
3

ответа
PHP

Простой
Как вывести больше 100 номенклатур посредством curl в php?
- 1 подписчик
- 28 апр.
- 80 просмотров
2

ответа
PHP

Простой
Как запускать одну функцию для разных задач одновременно?
- 1 подписчик
- 28 апр.
- 93 просмотра
1

ответ
PHP

+1 ещё

Средний
Как объединить 2 массива из LDAP через PHP?
- 1 подписчик
- 27 апр.
- 89 просмотров
2

ответа
PHP

+2 ещё

Средний
Как добавить php5.6 в ubuntu 16.04.07?
- 1 подписчик
- 27 апр.
- 149 просмотров
5

ответов
Показать ещё Загружается…

PHP Developer

YCLIENTS • Москва

от 200 000 до 350 000 ₽

PHP разработчик

Ведисофт • Екатеринбург

от 25 000 ₽

Backend разработчик PHP Laravel

Бюро Цифровых Технологий • Санкт-Петербург

от 120 000 до 180 000 ₽

Связать верстку с backend (swagger)

01 мая 2024, в 14:56

1000 руб./в час

3D иллюстрации и перноажи

01 мая 2024, в 14:51

50000 руб./за проект

Написать софт на post-get запросах

01 мая 2024, в 14:34

3000 руб./за проект

Хранятся не пароли, а их хеши
Хеши не декодируется.
Когда пользователь идентифицируется с помощью пароля от его пароля получают хеш и сравнивают его с хранимым в базе
ключа длиной 32 символа никак не получается.

Как это не получается? https://3v4l.org/pFoQO
SagePtr, Да, разобрался, что то тупил, теперь появилась еще одна проблема, методом который как в файле создается случайный хеш всё время, даже если используются одни и те же данные
Сергей Васильев, а кто сказал, что хэш всегда должен одинаковый создаваться? По правилам хорошего тона используется случайная соль
SagePtr, а каким тогда образом я могу сравнить хеш введенного пароля и того что в базе. Что то не догоняю
Сергей Васильев, посолить с той же солью и сравнить
SagePtr, ну что за бред? https://www.php.net/manual/ru/function.password-ve...
Много лет уже как.
Mylistryx, я про то, как математически этот процесс реализован (что хеши не совпадают, но при этом проверка возможна), а не про наличие функций в PHP. Не собирался запутывать автора, который начнёт пытаться к своему велосипеду применить функцию password_verify и обломается.

Answer 1 · 2021-09-12 12:03:14

В laravel, по умолчанию используется bcrypt, но это фреймворк, а не законченное приложение, и в конкретном приложении может быть любой алгоритм хеширования.

Восстановить пароли не получится, т.к. хранятся их хеши, а не пароли в явном виде. Можно заняться перебором и сравнением хешей, как это и делается при авторизации, но это мало эффективно.

Как зашифровать пароль как в laravel, но без laravel?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт