Utilizzo di Blowfish per la crittografia con PHP

Question

Sto lavorando su un modulo di registrazione in cui ho bisogno di crittografare la password, ho sentito che mi consiglia di utilizzare la crittografia Blowfish per le password, Come si implementa una crittografia blowfish utilizzando PHP funzione crypt()? Inoltre, sto progettando di recuperare la password in seguito per effettuare il login.

Answer 1

La risposta breve è usare crypt con un sale che inizia con i caratteri $ 2a $, a due cifre costo parametro, $, e 22 cifre dell'alfabeto ./0-9A-Za-z. Funziona solo su sistemi che supportano l'algoritmo di crittografia Blowfish. Tuttavia, PHP 5.3 lo implementa in modo nativo. Vedi PHP manual — crypt per maggiori dettagli.

Esempio:

crypt('rasmuslerdorf', '$2a$07$somesillystringforsalt') 

La stringa sale innesca l'algoritmo appropriato. Il parametro a due cifre costato è il logaritmo in base 2 del conteggio iterativo per l'algoritmo di hashing basato su Blowfish sottostante e deve essere compreso nell'intervallo [04 – 31]. Nell'esempio 07 indica all'algoritmo di utilizzare 2 o 128 iterazioni. Più alto è questo numero, più tempo ci vorrà per eseguire BUT, nel contesto delle password utente hashing, cioè una cosa GOOD GOOD.

This answer to a similar question spiega in modo più dettagliato cos'è BCrypt, come si riferisce a Blowfish e perché è necessario utilizzarlo. Ci sono molti altri related topics here on Stack Overflow.

---

phpass è un ottimo facile da usare framework hashing, password che funziona su tutti i sistemi, utilizzando Blowfish se ’ s supportati, e ricadendo ad altri algoritmi se ’ non lo è.

Answer 2

Non dovresti mai avere bisogno di blowfish per crittografare una password come questa. Il modulo di registrazione dovrebbe essere su HTTPS, che gestirà la difesa contro un attaccante sul filo. La password deve essere hash (non crittografata mai). bcrypt è una buona funzione di hash della password basata su blowfish. Ma ci sono molti post relativi alla memorizzazione sicura delle password su SO.