Могу ли я использовать PASSWORD_HASH для логина?
Я хочу иметь довольно безопасный логин на моем сайте. Я решил использовать 3 входа для моей формы. Имя пользователя и пароль для входа в вашу учетную запись и имя пользователя, которое будет отображаться на веб-сайте. Так что, если кто-то получит доступ к столу, ему нужно будет грубо взломать Логин и Пароль.
Могу ли я использовать password_hash()
для имени входа или я должен использовать нормальный hash()
-ин?
1 ответ
Скорее всего, в итоге вы получите две таблицы.
Одна таблица будет содержать данные пользователя, то есть уникальный идентификатор пользователя, имя пользователя, имя и т. Д. Имя пользователя, имя, адрес электронной почты будут зашифрованы.
Вторая таблица будет хеш-таблицей. Это таблица, которую вы будете использовать для проверки имени пользователя и пароля пользователя. Он должен иметь уникальный идентификатор пользователя, хешированное (без IV) значение имени пользователя, а затем ваш пароль, который вы будете использовать password_verify()
проверить.
Когда ваш пользователь входит в систему, он предоставит свое имя пользователя и пароль. Имя пользователя будет хешироваться тем же процессом без IV, чтобы позволить хешу всегда равняться хешу, который хранится в хеш-таблице для имени пользователя этого пользователя. Это позволит вам запросить соответствующую запись для проверки пароля. Проверьте свой пароль с помощью password_verify()
функция.
После проверки имени пользователя и пароля вы убедились, что у вашего пользователя есть соответствующие учетные данные, и вы сделаете второй запрос, используя уникальный идентификатор пользователя в первой таблице. Когда ваш запрос возвращает данные, это будут зашифрованные значения для этого пользователя, расшифруйте, и вы готовы отобразить информацию о пользователе для пользователя.
Если я получу доступ к вашим таблицам, я никогда не увижу никакой информации вашего пользователя. Я мог бы видеть уникальный идентификатор пользователя и увидеть, что идентификатор совпадает с идентификатором в обеих таблицах, но при этом все значения либо хешируются, либо шифруются.
Я настоятельно рекомендую использовать библиотеку Libsodium для хеширования и шифрования. (Пусть встроенные функции паролей php позаботятся обо всех ваших паролях.) Libsodium теперь поддерживается изначально в последних версиях PHP.
Предполагается, что ваши таблицы и файловые каталоги вашего сервера находятся на двух физически разных машинах. Это потому, что вы будете хранить ключи шифрования в вашем каталоге, в идеале под вашим корневым каталогом. Если ваш сервер скомпрометирован, они не имеют прямого доступа к вашим таблицам, а если ваши таблицы скомпрометированы, у них нет доступа к вашим ключам.
Надеюсь, это заставит вас двигаться в правильном направлении.
обновленный
Вот простая процедура шифрования / дешифрования, которая зашифрует имя пользователя без IV. Это означает, что до тех пор, пока ключ остается неизменным, он будет каждый раз шифровать один и тот же простой текст в один и тот же зашифрованный текст. Это позволит вам запрашивать зашифрованный текст относительно того же зашифрованного текста в вашей базе данных.
define("MYKEY_", base64_decode('LoPCPKd8iDxHvb8mATzhhg=='));
function encryptName($plainText) {
return base64_encode(openssl_encrypt($plainText, 'AES-128-CBC', MYKEY_, OPENSSL_RAW_DATA, NULL));
}
function decryptName($cipherText) {
return openssl_decrypt(base64_decode($cipherText), 'AES-128-CBC', MYKEY_, OPENSSL_RAW_DATA, NULL);
}
$text = 'myUserName';
$cipherText = encryptName($text);
echo $cipherText . '<br>';
$plainText = decryptName($cipherText);
echo $plainText;