Français
Français
La fonction Password_Needs_Hehash est utilisée pour vérifier si la valeur de hachage d'un mot de passe existant doit être mise à jour à l'aide de nouveaux algorithmes ou paramètres de chiffrement. Il compare le hachage du mot de passe actuel avec les paramètres de chiffrement spécifiés (tels que les algorithmes, les facteurs de coût, etc.). Si le hachage de mot de passe existant ne répond pas aux nouvelles exigences, il renvoie vrai , sinon il renvoie False .
<span><span><span class="hljs-keyword">if</span></span><span> (</span><span><span class="hljs-title function_ invoke__">password_needs_rehash</span></span><span>(</span><span><span class="hljs-variable">$hashedPassword</span></span><span>, PASSWORD_BCRYPT, [</span><span><span class="hljs-string">'cost'</span></span><span> => </span><span><span class="hljs-number">12</span></span><span>])) {
</span><span><span class="hljs-variable">$newHash</span></span><span> = </span><span><span class="hljs-title function_ invoke__">password_hash</span></span><span>(</span><span><span class="hljs-variable">$password</span></span><span>, PASSWORD_BCRYPT, [</span><span><span class="hljs-string">'cost'</span></span><span> => </span><span><span class="hljs-number">12</span></span><span>]);
</span><span><span class="hljs-comment">// Mettre à jour les mots de passe dans la base de données</span></span><span>
}
</span></span>Dans cet exemple, Password_Needs_Hehash vérifie si $ hashedpassword répond aux paramètres de chiffrement spécifiés (tels que les paramètres de coût ). S'il ne se rencontre pas, le mot de passe doit être reconnu.
Avec la mise à jour et la mise à niveau continu des algorithmes de hachage de mot de passe, les mots de passe cryptés avec des algorithmes plus anciens peuvent faire face à des risques de sécurité. Par exemple, PHP a été initialement chiffré à l'aide d'algorithmes tels que MD5 et SHA-1, mais ces algorithmes se sont révélés vulnérables. Avec l'avènement des algorithmes de cryptage modernes tels que BCrypt et Argon2, les mots de passe cryptés à l'aide de ces algorithmes sont plus sécurisés.
L'introduction de la fonction Password_Needs_Hehash permet aux développeurs de mettre à jour de manière flexible les mots de passe lors de leur stockage. Par exemple, lorsque nous décidons de remplacer Bcrypt par Argon2, le mot de passe qui a été à l'origine crypté par BCrypt peut être détecté et mis à jour vers une nouvelle méthode de chiffrement via Password_Needs_Hehash . De cette façon, même les mots de passe stockés dans la base de données peuvent être automatiquement migrés vers le nouvel algorithme de cryptage la prochaine fois que l'utilisateur se connectera.
La sécurité de l'algorithme de cryptage lui-même dépend non seulement de l'algorithme lui-même, mais également lié aux paramètres des paramètres de l'algorithme (tels que les paramètres de coût dans BCrypt). Le paramètre de coût détermine la complexité temporelle des calculs de hachage. Des valeurs plus élevées peuvent assurer une sécurité plus élevée, mais elles peuvent également entraîner des temps de calcul plus longs.
Supposons que vous ayez initialement utilisé l'algorithme BCrypt avec un coût 10 pour stocker les mots de passe, mais au fil du temps, vous constatez que le serveur a une puissance de traitement plus forte et peut utiliser des valeurs de coûts plus élevées pour améliorer la sécurité. En utilisant Password_Needs_Hehash , vous pouvez vérifier si l'ancien mot de passe stocké dans la base de données utilise un coût inférieur et le mettre à jour au besoin.
<span><span><span class="hljs-keyword">if</span></span><span> (</span><span><span class="hljs-title function_ invoke__">password_needs_rehash</span></span><span>(</span><span><span class="hljs-variable">$hashedPassword</span></span><span>, PASSWORD_BCRYPT, [</span><span><span class="hljs-string">'cost'</span></span><span> => </span><span><span class="hljs-number">14</span></span><span>])) {
</span><span><span class="hljs-variable">$newHash</span></span><span> = </span><span><span class="hljs-title function_ invoke__">password_hash</span></span><span>(</span><span><span class="hljs-variable">$password</span></span><span>, PASSWORD_BCRYPT, [</span><span><span class="hljs-string">'cost'</span></span><span> => </span><span><span class="hljs-number">14</span></span><span>]);
</span><span><span class="hljs-comment">// Mettre à jour les mots de passe dans la base de données</span></span><span>
}
</span></span>Dans cet exemple, si le coût du hachage d'origine est inférieur à 14, une réincr Rispryption est requise.
Bien que Password_Needs_Hehash fournit un moyen facile de détecter si un hachage doit être mis à jour, ce processus peut encore avoir un certain impact sur les performances. Surtout lorsqu'il y a de grands utilisateurs ou un accès fréquent de base de données, la vérification du hachage à chaque fois que l'utilisateur se connecte peut augmenter la charge du serveur.
Afin de réduire l'impact des performances, il est recommandé de traiter la réincr Rischypption de mot de passe en arrière-plan de manière asynchrone lorsque la connexion du mot de passe est réussie. Cela signifie que la réincr Ras-Cryption n'affecte pas l'expérience instantanée de l'utilisateur, mais met plutôt à jour progressivement le hachage de mot de passe dans la base de données en arrière-plan.
En vérifiant régulièrement si le hachage du mot de passe répond aux normes de sécurité actuelles, l'utilisation de Password_Needs_Hehash peut considérablement améliorer la sécurité du système. Si aucune mise à jour n'est effectuée, les risques suivants peuvent se produire:
Les problèmes de sécurité avec les anciens algorithmes : les algorithmes de chiffrement plus anciens tels que MD5 et SHA1 ne sont plus sécurisés, et les attaquants peuvent facilement casser ces mots de passe via des tables arc-en-ciel ou d'autres méthodes.
Paramètre incorrect : Si le coût est réglé trop bas, le mot de passe peut être vulnérable aux attaques brutales. L'attaquant fissure le hachage en expérimentant un grand nombre de combinaisons de mots de passe possibles.
La détection et la mise à jour régulières des hachages de mot de passe aident à s'assurer que le stockage de mot de passe est toujours conforme aux meilleures pratiques de sécurité actuelles.
