Вопрос по функции хеширования паролей?

Question

[Оптимус Пьян]

В мануале php.net/manual/ru/function.password-hash.php пример:
password_hash("rasmuslerdorf", PASSWORD_DEFAULT);

И примечание:
PASSWORD_DEFAULT - используется алгоритм bcrypt (по умолчанию с PHP 5.5.0). Обратите внимание, что используемый алгоритм может со временем меняться на более сильный, когда таковой добавляется в PHP. Соответственно и длина результата может со временем меняться. В связи с этим рекомендуется выбирать длину поля для хранения в базе данных более 60 символов (255 символов могло быть хорошим вариантом).

Значит ли это что однажды при переезде на более новую версию PHP старые юзеры не смогут попасть в БД без пересоздания пароля, т.к. алгоритм изменился. Пароль он будет хешировать новым методом, но сравнивать с хешем в БД полученным старым методом?

Answer 1

[BoShurik]

Нет
php.net/manual/ru/function.password-hash.php

Использованный алгоритм, стоимость и соль будут возвращены как часть хеша. Таким образом, информация необходимая для проверки хеша будет в него включена. Это позволит функции password_verify() проверять хеш без необходимости отдельного хранения информации о соли и алгоритме.

Comments

[Василий Варюхин]

То есть проблемы возникнут только если один из методов шифрования уберут вообще?

[Оптимус Пьян]

Если стоимость не используется?

[BoShurik]

php.net/manual/ru/function.password-verify.php - тут же нигде алгоритм не указывается, вы чего

Hocopor, да, что маловероятно, я бы даже сказал невозможно
Оптимус Пьян, все будет отражено в хеше

Answer 2

[Stalker_RED]

Да. Поэтому вы можете сразу указать PASSWORD_BCRYPT, либо когда-нибудь потом при переезде указать (если нужно будет).