Làm cách nào để cập nhật bảo mật trong tập lệnh đăng nhập của tôi từ MD5 lên một cái gì đó an toàn hơn?

Question

Tôi có một kịch bản PHP đăng nhập với muối trên cơ sở dữ liệu, nhưng trong kịch bản đăng ký của tôi, tôi thấy:

$qry = "INSERT INTO accounts(username, firstname, lastname, password) " . 
VALUES('$username','$fname','$lname','" . md5($_POST['password']) . "')"; 

và cho đăng nhập:

$qry="SELECT * FROM accounts WHERE username='$username' AND password='" . 
md5($_POST['password']) . "'"; 

Có một số mã có thể thay thế các MD5 ? Cái gì đó an toàn hơn?

Tôi đã nghe nói về SHA1 hoặc một cái gì đó.

Answer 1

Câu trả lời ngắn

Sử dụng bcrypt không md5 hoặc sha1

Còn câu trả lời

Sử dụng crypt() khó. Có một API mật khẩu PHP băm mới sắp tới trong PHP phiên bản 5.5, bạn có thể đọc về nó ở đây:

https://gist.github.com/nikic/3707231

Nó sử dụng bcrypt và làm cho toàn bộ quá trình rất dễ dàng. Tất nhiên php 5,5 là chưa sẵn sàng, vì vậy trong khi chờ đợi có một thư viện để cung cấp API mới này ngay bây giờ:

https://github.com/ircmaxell/password_compat

Edit: Xem chủ đề này cho một câu trả lời nhiều kỹ lưỡng hơn về chủ đề:

How do you use bcrypt for hashing passwords in PHP?

Answer 2

xét bài @jszbody, bạn cũng nên cập nhật trường mật khẩu của bạn để cho bạn muốn chương trình bạn đang sử dụng.

Bây giờ bạn có băm MD5, bạn có thể chỉ có "BAC232BC1334DE" hoặc một cái gì đó.

Khi bạn truy cập SHA hoặc bất cứ điều gì, bạn nên thay đổi thành: "SHA: YOURSHAHASHHERE".

Vì bạn không thể thay đổi bất kỳ mật khẩu hiện có nào của mình ngay bây giờ. Điều này sẽ làm cho nó tương thích ngược hơn, vì bây giờ bạn có thể hỗ trợ cả hai lược đồ.

Vì bạn nhận được mật khẩu ban đầu trong khi đăng nhập, bạn có thể tự động nâng cấp mật khẩu của mình tại chỗ khi mọi người đăng nhập.

Bạn nhận được hồ sơ người dùng của mình, kiểm tra mật khẩu. Nếu không có sơ đồ, hãy sử dụng MD5 và so sánh mật khẩu. Nếu đúng (nghĩa là họ có thể đăng nhập), bạn có thể cập nhật mật khẩu MD5 cũ của họ thành mật khẩu SHA mới.

Ngoài ra, có vẻ như bạn không đang sử dụng mật khẩu của mình. Bạn phải muối mật khẩu của bạn để khi Mary Sue sử dụng "ilovekittens" cho mật khẩu của mình, và Big Jake Mahoney sử dụng "ilovekittens" làm mật khẩu của mình, bạn không nhận được cùng một mật khẩu giống hệt nhau.

Bạn cũng có thể lưu trữ muối trong mật khẩu: "SHA: RANDOMSALTCHARACTERS: YOURSALTEDHASHHERE".

Việc đánh giá cao được khuyến khích. Unsalted, nó khá nhiều không quan trọng toàn bộ rất nhiều những gì chương trình bạn sử dụng.

Answer 3

Hãy thử sử dụng các lớp sau đây:

<?php 
    class PassHash { 

     // blowfish 
     private static $algo = '$2a'; 

     // cost parameter 
     private static $cost = '$31'; 

     // mainly for internal use 
     public static function unique_salt() { 
      return substr(sha1(mt_rand()),0,22); 
     } 

     // this will be used to generate a hash 
     public static function hash($password) { 

      return crypt($password, 
         self::$algo . 
         self::$cost . 
         '$' . self::unique_salt()); 

     } 
     // this will be used to compare a password against a hash 
     public static function check_password($hash, $password) { 

      $full_salt = substr($hash, 0, 29); 

      $new_hash = crypt($password, $full_salt); 

      return ($hash == $new_hash); 

     } 

    } 

?> 

bao gồm nó trong trang của bạn như sau:

include_once('passhash.class.php'); 

Hash mật khẩu bằng cách:

PassHash::hash("test"); 

Và kiểm tra xem nó với:

if (PassHash::check_password($databasepassword, $formpassword)){ 
    // do stuff 
} 

Chức năng này sử dụng mã hóa Blowfish. Để biết thêm thông tin về Blowfish goto PHP.net/crypt

Blowfish được coi là cách hiệu quả nhất nhưng mạnh nhất để mã hóa mật khẩu. Không sử dụng MD5 hoặc SHA1 mà không sử dụng muối!