Как проще всего и надежно хешировать пароль в PHP 5.3.5?

Question

[tundramani]

ОГРАНИЧЕНИЕ: PHP 5.3.5

делаю так:

$parol = crypt( $_SERVER['PHP_AUTH_PW'] , 'соль');

и далее храню эту строку на сервере

этого достаточно ?

Comments

[FanatPHP]

Самое поразительное в этом вопросе - количество подписчиков.

Answer 1

[Melkij]

Всё давно в ядре: password_hash + password_verify
https://www.php.net/manual/en/function.password-ha...

Comments

[tundramani]

ОГРАНИЧЕНИЕ: PHP 5.3.5

[Melkij]

программист №453, мазохист? Оно уже 8 лет как EOL и имеет зоопарк известных ошибок и уязвимостей.
try this https://github.com/ircmaxell/password_compat

[Konata Izumi]

Melkij, не мазохист, а археолог.
программист №453, на легаси посадили?

[tundramani]

Melkij, у меня старый мак - в мампе эта версия пхп

[Melkij]

Konata Izumi, археолог - это 5.3.29. 5.3.5 - это мазохист.

[Konata Izumi]

программист №453, на старый мак никак нельзя новую версию php поставить? Что-то слабо верится.

[tundramani]

Konata Izumi, наверное можно - не охота заморачиваться - использую то что работает из коробки

[Konata Izumi]

программист №453, в дальнейшем работать с легаси собираетесь?
Язык неплохо так развился с версии 5.3 до 7.3

[JhaoDa]

программист №453, с таким подходом в md5 хэшируй и не парься.

[Сергей delphinpro]

программист №453,

наверное можно - не охота заморачиваться - использую то что работает из коробки

Это самый убогий аргумент, который я слышал за более чем 10 лет разработки...

Обновите php и не парьтесь с легаси. Это не так сложно. На современных хостингах уже давно доступен php7 или хотя бы php5.6.

[Руслан Макаров]

программист №453, вы серьезно?

Konata Izumi, наверное можно - не охота заморачиваться - использую то что работает из коробки

поверьте, заморачиваетесь вы сейчас.
Это даже не мазохизм, это исключительное рукоблудие

Answer 2

[profesor08]

Я бы не использовал эту функцию, результат ее выполнения довольно короткий, берет только первые 8 символов в начале строки, а значит длинные пароли смысла не имеют. Привет брутфорс.

Есть гораздо лучшие альтернативы: https://www.php.net/manual/ru/function.hash.php
Выбираешь нужный алгоритм хеширования и вперед.
echo hash("sha256" , "my_password" . "salt");

Comments

[tundramani]

какой алгоритм выбрать чтобы была надежность нормальная?

[Konata Izumi]

программист №453, sha256

[xmoonlight]

программист №453, посмотрите, я обновил ответ. Этот вариант - лучший из всех предложенных для PHP Вашей версии по криптостойкости.

Answer 3

[xmoonlight]

тут

crypt('password', '$6$rounds=150000$PerUserCryptoRandomSalt$')

$6 - use SHA-512, which has 64-bit operations that reduce the margin of advantage most GPU based attackers have over you as of early 2016.

$rounds=150000 - set the number of iterations to hundreds of thousands or high tens of thousands of rounds.

PerUserCryptoRandomSalt - unlike password_hash, you have to do this yourself. You need to generate a unique, cryptographically random salt of 12-24 binary bytes (16 is very reasonable)

Comments

[tundramani]

crypt() возвращает хешированную строку

[xmoonlight]

программист №453, да, точно... тогда пишите: "захешировать"

Answer 4

[Андрей]

ну, задача не дать расшифровать снаружи и подбор использовать?

md5($salt.$pass.md5($salt.$pass.md5($salt.$pass.md5($pass.$salt.$pass).$pass).$pass).$pass);

Comments

[xmoonlight]

ну да, нет формулы - нет мультиков)

[Виталий Хоменко]

Как-то слабенько мне кажется...

[Андрей]

Виталий Хоменко, по табличкам не пройдет, а без них - удачной расшифровки..

[sim3x]

А теперь докажите, что такой хеш сильнее простого мд5 с солью

Вы ведь в курсе, что от такого вложения вся конструкция чаще всего становится менее криптостойкой?

[Adamos]

sim3x, так это и не криптозащита. Это психологическая атака ;)

[Андрей]

sim3x, как минимум - он потребует 4 проходов по радужным таблицам.

[sim3x]

Андрей, нет

По сути он потребует только
$salt $pass (16 байт с ограниченным словарем) $pass
Где $pass вначале пройдет атаку по словарю, а с учетом такого подхода соль будет в виде таймштампа