PASSWORD_DEFAULT vs PASSWORD_BCRYPT
Quelle est la différence entre PASSWORD_DEFAULT et PASSWORD_BCRYPT?
- Ils à la fois utiliser l'algorithme de chiffrement Blowfish?
Quel est le coût de l'algorithme?
Comment mettre en place password_hash en PHP produire un 255-hachage de longueur au lieu de 60?
source d'informationauteur rexhin
Vous devez vous connecter pour publier un commentaire.
Actuellement
PASSWORD_BCRYPT
est le seul algorithme de prise en charge (à l'aide de CRYPT_BLWFISH), donc il n'y a actuellement pas de différence entrePASSWORD_DEFAULT
etPASSWORD_BCRYPT
. Le but dePASSWORD_DEFAULT
est de permettre l'inclusion d'autres algorithmes dans le futur, après quoiPASSWORD_DEFAULT
sera toujours utilisé pour appliquer le plus fort soutenu algorithme de hachage.Coût est lié au nombre d'itérations de l'algorithme qui sont exécutées, et affecte la vitesse de calcul ainsi que la valeur de hachage généré. Les coûts plus élevés prendre plus de temps à s'exécuter, le ralentissement des attaques de force brute
Par la documentation PASSWORD_DEFAULT est censé être l'avenir de
De la documentation:
PASSWORD_DEFAULT - Utiliser le bcrypt algorithme (par défaut depuis PHP 5.5.0). Notez que cette constante est conçu pour changer au fil du temps que des nouvelles et des algorithmes plus robustes sont ajoutés à PHP. Pour cette raison, la longueur de la suite de l'utilisation de cet identifiant peut changer au fil du temps. Par conséquent, il est recommandé de stocker le résultat dans une colonne de base de données qui peut s'étendre au-delà de 60 caractères (255 caractères serait un bon choix).
Il n'y a pas de différence entre PASSWORD_DEFAULT et PASSWORD_BCRYPT pour le moment (http://www.php.net/manual/en/password.constants.php).
Le coût dépend du nombre de tours de la table de hachage sera appliqué. Il est également expliqué dans le lien ci-dessus. Si vous voulez augmenter la sécurité de votre hash, il vaut mieux augmenter le nombre de tours au lieu de la longueur.
Un autre bon exemple est illustré ici:
https://wwphp-fb.github.io/faq/security/passwords/
Actuellement
PASSWORD_DEFAULT
estPASSWORD_BCRYPT
et de la langue et de la cryptographie progrès, il y aura différents types d'algorithmes de prise en charge.PASSWORD_DEFAULT
seront remplacés par ce nouveau type d'algorithme (par exemple Argon2). Bon choix est de toujours utiliser lePASSWORD_DEFAULT
.