Deutsch
Deutsch
Die Funktion password_needs_rehash bestimmt, ob der aktuell gespeicherte Passwort -Hash basierend auf dem angegebenen Kennwort -Hash, ausgewählten Algorithmus, Kosten und anderen Optionen aktualisiert werden muss. Die Funktionssignatur ist wie folgt:
<span><span><span class="hljs-keyword">bool</span></span><span> </span><span><span class="hljs-title function_ invoke__">password_needs_rehash</span></span><span> ( </span><span><span class="hljs-keyword">string</span></span><span> </span><span><span class="hljs-variable">$hash</span></span><span> , </span><span><span class="hljs-keyword">int</span></span><span> </span><span><span class="hljs-variable">$algo</span></span><span> , </span><span><span class="hljs-keyword">array</span></span><span> </span><span><span class="hljs-variable">$options</span></span><span> )
</span></span>$ Hash : Das Passwort Hash, das überprüft werden muss.
$ algo : Der verwendete Hashing -Algorithmus (z. B. password_default oder password_bcrypt ).
$ option : Eine Reihe von Konfigurationsoptionen, die normalerweise die Kosten für Hashing enthalten.
Die Funktion dieser Funktion besteht darin, zu überprüfen, ob der Hash des aktuellen Kennworts die aktuellen Konfigurationsanforderungen erfüllt. Wenn es nicht übereinstimmt, gibt es True zurück und zeigt an, dass der Hash aktualisiert werden muss.
Password_default ist der Standardhashing -Algorithmus in PHP. Normalerweise verwendet es BCrypt , kann aber in Zukunft durch die Verbesserung des Algorithmus ersetzt werden. Wenn die PHP -Version aktualisiert wird oder sich die Sicherheitsbibliothek ändert, kann Passwort_Default den neuen Algorithmus verwenden.
Nehmen wir beispielsweise in PHP 5.6 an, Sie verwenden password_default , um einen Passwort -Hash zu generieren und zu speichern. Wenn PHP auf 7.x aktualisiert wird, kann Passage_Default ein anderer Algorithmus werden (vorausgesetzt, es ändert sich von Bcrypt zu argon2 ). Wenn Sie password_needs_rehash verwenden, um das Passwort -Hash zu überprüfen, kann Folgendes auftreten:
Das gespeicherte Passwort verwendet den alten Hashing -Algorithmus.
Das System erfordert einen neuen Hashing -Algorithmus (wie Argon2 ), aber password_needs_rehash kann diese Unterschiede nicht erkennen.
Um dies zu vermeiden, ist es am besten, einen Algorithmus explizit anzugeben, anstatt sich auf password_default zu verlassen, insbesondere in Produktionsumgebungen. Selbst wenn PHP in Zukunft zu einem neuen Algorithmus wechselt, kann dies sicherstellen, dass Sie einen klaren Hashing -Algorithmus verwenden, der den Anforderungen des Projekts entspricht.
<span><span><span class="hljs-variable">$hash</span></span><span> = </span><span><span class="hljs-title function_ invoke__">password_hash</span></span><span>(</span><span><span class="hljs-variable">$password</span></span><span>, PASSWORD_BCRYPT);
</span></span>password_needs_rehash prüft auch den Kostenfaktor von Passwort Hash (z. B. den Kostenfaktor von BCrypt). Wenn Sie den Kostenfaktor in Ihrer Systemkonfiguration (z. B. von 10 bis 12) ändern und der alte Kennwort -Hash weiterhin einen niedrigeren Kostenfaktor verwendet, erkennt Password_Needs_Rehash möglicherweise nicht korrekt, dass der Hash aktualisiert werden muss.
Stellen Sie immer sicher, dass der aktuelle Kostenfaktor jedes Mal verwendet wird, wenn der Passwort -Hash generiert wird. Um eine Verzögerung in Passwort -Hashing -Updates zu vermeiden, können Sie das Passwort -Hash jedes Mal überprüfen und aktualisieren, wenn sich der Benutzer anmeldet.
<span><span><span class="hljs-variable">$options</span></span><span> = [</span><span><span class="hljs-string">'cost'</span></span><span> => </span><span><span class="hljs-number">12</span></span><span>]; </span><span><span class="hljs-comment">// Verwenden Sie den richtigen Kostenfaktor</span></span><span>
</span><span><span class="hljs-variable">$hash</span></span><span> = </span><span><span class="hljs-title function_ invoke__">password_hash</span></span><span>(</span><span><span class="hljs-variable">$password</span></span><span>, PASSWORD_BCRYPT, </span><span><span class="hljs-variable">$options</span></span><span>);
</span></span>password_needs_rehash erfordert drei Parameter: Hash -Wert, Algorithmus und Konfigurationsoptionen. Wenn diese Parameter falsch übergeben werden, funktioniert die Funktion möglicherweise nicht ordnungsgemäß. Häufige Fragen umfassen:
Das $ Options -Array wird nicht korrekt übergeben, was zum Verlust von Kostenfaktoren oder anderen Konfigurationsparametern führt.
Der bestandene Hash stimmt nicht mit dem Algorithmus überein, der zum Erstellen dieses Hashs verwendet wird.
Stellen Sie sicher, dass Sie die richtigen Parameter übergeben, wenn Sie password_needs_rehash aufrufen. Hier ist ein Beispiel:
<span><span><span class="hljs-variable">$hash</span></span><span> = </span><span><span class="hljs-title function_ invoke__">password_hash</span></span><span>(</span><span><span class="hljs-variable">$password</span></span><span>, PASSWORD_BCRYPT, [</span><span><span class="hljs-string">'cost'</span></span><span> => </span><span><span class="hljs-number">12</span></span><span>]);
</span><span><span class="hljs-keyword">if</span></span><span> (</span><span><span class="hljs-title function_ invoke__">password_needs_rehash</span></span><span>(</span><span><span class="hljs-variable">$hash</span></span><span>, PASSWORD_BCRYPT, [</span><span><span class="hljs-string">'cost'</span></span><span> => </span><span><span class="hljs-number">12</span></span><span>])) {
</span><span><span class="hljs-variable">$hash</span></span><span> = </span><span><span class="hljs-title function_ invoke__">password_hash</span></span><span>(</span><span><span class="hljs-variable">$password</span></span><span>, PASSWORD_BCRYPT, [</span><span><span class="hljs-string">'cost'</span></span><span> => </span><span><span class="hljs-number">12</span></span><span>]);
}
</span></span>Stellen Sie sicher, dass $ Hash den ausgewählten Algorithmus- und Konfigurationsoptionen übereinstimmt.
Passwort -Hashing -Algorithmen und -konfigurationen können im Laufe der Zeit leistungsfähiger werden, sind jedoch möglicherweise auch zu einem bestimmten Zeitpunkt veraltet. Daher ist es zusätzlich zur Verwendung von password_needs_rehash , um festzustellen, ob Passwort -Hash aktualisiert werden muss, auch eine gute Sicherheitspraxis, um das Passwort -Hash regelmäßig zurückzusetzen. Sie können überprüfen, ob der Hash jedes Mal aktualisiert werden muss, wenn sich der Benutzer anmeldet.
Manchmal müssen Sie möglicherweise mit einer Reihe verschiedener PHP -Versionen oder Konfigurationen kompatibel sein. In diesem Fall kann das Verhalten von password_needs_rehash durch Unterschiede zwischen verschiedenen Versionen beeinflusst werden. Stellen Sie daher sicher, dass Ihr System mit der Version von PHP kompatibel ist, die Sie verwenden, und passen Sie es bei Bedarf entsprechend an.
password_needs_rehash ist ein leistungsstarkes Tool, um festzustellen, ob Passwort Hash die aktuellen Konfigurationsanforderungen erfüllt. Während der tatsächlichen Verwendung können wir jedoch auf einige Konfigurationsprobleme stoßen, was zu einer ungenauen Beurteilung der Funktion führt. Zu den allgemeinen Konfigurationsproblemen gehören Algorithmusänderungen, Kostenfaktoraktualisierungen und unsachgemäße Parameterübertragung. Die Lösung für diese Probleme besteht darin, den Hashing -Algorithmus und den Kostenfaktor explizit anzugeben, sicherzustellen, dass die aktuelle Konfiguration jedes Mal verwendet wird, wenn das Kennwort aktualisiert wird, und regelmäßig die Sicherheitsrichtlinien für die Kennwort zu überprüfen.
Durch das Verständnis dieser häufigen Probleme und ihrer Lösungen können wir die Sicherheit der Benutzerkennwörter besser sicherstellen und potenzielle Sicherheitsrisiken vermeiden.
