Как зашифровать пароль как в laravel, но без laravel?

Question

Сергей Васильев @Romo4ka_eto_ia

Просто человек

PHP

Как зашифровать пароль как в laravel, но без laravel?

Здравствуйте, у меня есть база данных основанная на Laravel, пароли, сессии, все зашифровано через него. Я нашел файл, который шифрует пароли, там используется метод шифрования AES-256-CBC для которого нужен ключ длиной 32 символа, но в конфиге laravel есть только ключ:

base64:d2Z0DhjLxL24LyiQ7iJEae4YVBuufKy8T3QdEsma1DM=

Я пробовал декодировать его через base64, ничего путного не получилось, ключа длиной 32 символа никак не получается.
(Вот сам файл), который декодирует пароли, в нем тоже нет особо никаких действий с ключом, просто проверяется на длину в 32 символа и каким-то образом получается true.

Вопрос задан более трёх лет назад
197 просмотров

8 комментариев

Подписаться 1 Простой 8 комментариев

Fedor Vlasenko @VlasenkoFedor

Хранятся не пароли, а их хеши
Хеши не декодируется.
Когда пользователь идентифицируется с помощью пароля от его пароля получают хеш и сравнивают его с хранимым в базе

Написано более трёх лет назад
SagePtr @SagePtr

ключа длиной 32 символа никак не получается.

Как это не получается? https://3v4l.org/pFoQO

Написано более трёх лет назад
Сергей Васильев @Romo4ka_eto_ia Автор вопроса

SagePtr, Да, разобрался, что то тупил, теперь появилась еще одна проблема, методом который как в файле создается случайный хеш всё время, даже если используются одни и те же данные

Написано более трёх лет назад
SagePtr @SagePtr

Сергей Васильев, а кто сказал, что хэш всегда должен одинаковый создаваться? По правилам хорошего тона используется случайная соль

Написано более трёх лет назад
Сергей Васильев @Romo4ka_eto_ia Автор вопроса

SagePtr, а каким тогда образом я могу сравнить хеш введенного пароля и того что в базе. Что то не догоняю

Написано более трёх лет назад
SagePtr @SagePtr

Сергей Васильев, посолить с той же солью и сравнить

Написано более трёх лет назад
Mylistryx @Mylistryx

SagePtr, ну что за бред? https://www.php.net/manual/ru/function.password-ve...
Много лет уже как.

Написано более трёх лет назад
SagePtr @SagePtr

Mylistryx, я про то, как математически этот процесс реализован (что хеши не совпадают, но при этом проверка возможна), а не про наличие функций в PHP. Не собирался запутывать автора, который начнёт пытаться к своему велосипеду применить функцию password_verify и обломается.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы

PHP

+1 ещё

Простой
Не работает событие телеграм бота, как запустить его?
- 1 подписчик
- час назад
- 20 просмотров
0

ответов
PHP

Средний
Обнаружилась на сайте активная РНР сессия, как и где найти функцию session_write_close()?
- 1 подписчик
- 15 часов назад
- 50 просмотров
0

ответов
PHP

+1 ещё

Простой
Как написать правило в nginx чтобы адрес типа localhost:8099/home/index/alex попадал в GET['url'] параметр?
- 1 подписчик
- 20 часов назад
- 53 просмотра
1

ответ
PHP

Средний
Как сформировать список по вложенному массиву рекурсивной функцией?
- 1 подписчик
- 21 час назад
- 94 просмотра
2

ответа
PHP

Средний
Как указать тип возвращаемого значения абстрактного метода, если он должен возвращать объект класса унаследованного от другой абастракции?
- 1 подписчик
- вчера
- 76 просмотров
1

ответ
PHP

Простой
Как узнать из-за чего прерывается фоновый процесс запущенный через exec?
- 1 подписчик
- вчера
- 76 просмотров
1

ответ
PHP

+1 ещё

Средний
Как спарсить этот текст с помощью simplehtmldom?
- 1 подписчик
- вчера
- 45 просмотров
0

ответов
PHP

Простой
Как правильно вывести ошибки регистрации?
- 2 подписчика
- вчера
- 153 просмотра
1

ответ
PHP

+1 ещё

Простой
Как обновить PHP на сайте?
- 1 подписчик
- 23 нояб.
- 609 просмотров
2

ответа
PHP

+1 ещё

Средний
Yii2-dynamic-form при добавлении строки слетает кодировка. Как решить?
- 1 подписчик
- 23 нояб.
- 45 просмотров
1

ответ
Показать ещё Загружается…

PHP-разработчик

Decart IT-production

от 260 000 до 340 000 ₽

Backend-разработчик PHP

Wanted. • Москва

До 160 000 ₽

PHP-разработчик

Wanted.

До 200 000 ₽

Юзабилити-тестирование сайта с мобильного — 28.11.2024 в 15:00 по МСК

27 нояб. 2024, в 13:50

300 руб./за проект

Найти причину падения конверсий

27 нояб. 2024, в 13:07

10000 руб./за проект

Разработать мобильное приложение

27 нояб. 2024, в 12:53

70000 руб./за проект

Хранятся не пароли, а их хеши
Хеши не декодируется.
Когда пользователь идентифицируется с помощью пароля от его пароля получают хеш и сравнивают его с хранимым в базе
ключа длиной 32 символа никак не получается.

Как это не получается? https://3v4l.org/pFoQO
SagePtr, Да, разобрался, что то тупил, теперь появилась еще одна проблема, методом который как в файле создается случайный хеш всё время, даже если используются одни и те же данные
Сергей Васильев, а кто сказал, что хэш всегда должен одинаковый создаваться? По правилам хорошего тона используется случайная соль
SagePtr, а каким тогда образом я могу сравнить хеш введенного пароля и того что в базе. Что то не догоняю
Сергей Васильев, посолить с той же солью и сравнить
SagePtr, ну что за бред? https://www.php.net/manual/ru/function.password-ve...
Много лет уже как.
Mylistryx, я про то, как математически этот процесс реализован (что хеши не совпадают, но при этом проверка возможна), а не про наличие функций в PHP. Не собирался запутывать автора, который начнёт пытаться к своему велосипеду применить функцию password_verify и обломается.

Answer 1 · 2021-09-12 12:03:14

В laravel, по умолчанию используется bcrypt, но это фреймворк, а не законченное приложение, и в конкретном приложении может быть любой алгоритм хеширования.

Восстановить пароли не получится, т.к. хранятся их хеши, а не пароли в явном виде. Можно заняться перебором и сравнением хешей, как это и делается при авторизации, но это мало эффективно.

Как зашифровать пароль как в laravel, но без laravel?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт