题 如何在PHP中使用bcrypt进行散列密码?


我时不时地听到“使用bcrypt在PHP中存储密码,bcrypt规则”的建议。

但是是什么 bcrypt? PHP不提供任何此类功能,维基百科关于文件加密实用程序的唠叨和Web搜索只是揭示了一些实现 河豚 用不同的语言。现在Blowfish也可以通过PHP获得 mcrypt,但这对存储密码有何帮助? Blowfish是一种通用密码,它有两种工作方式。如果它可以加密,则可以解密。密码需要单向散列函数。

解释是什么?


1148
2018-01-25 15:34


起源


这个问题一直存在 先前已解决,他们建议使用标准库非常好。安全是一件复杂的事情,通过使用由知道自己在做什么的人设计的软件包,你只会帮助自己。 - eykanal
@eykanal - 那个页面甚至没有提到bcrypt,更不用说解释了 这是什么。 - Vilx-
@eykanal - 我不会解释它是如何工作的。我只是想知道 什么 它是。因为无论我在网上挖掘关键字“bcrypt”,都无法用于散列密码。不是直接,而不是PHP。好的,到现在为止我明白它真的是“phpass”软件包,它使用blowfish来加密你的密码,密钥是从你的密码派生的(本质上是用自己加密密码)。但是将其称为“bcrypt”是非常误导的,这就是我想在这个问题中澄清的内容。 - Vilx-
@Vilx:我已经添加了更多关于原因的信息 bcrypt 是一种单向散列算法与加密方案 在我的回答中。有这种误解 bcrypt 实际上它只是Blowfish有一个完全不同的密钥安排,它确保在不知道密码的初始状态(盐,轮,密钥)的情况下无法从密文中恢复纯文本。 - Andrew Moore
另见Openwall's 便携式PHP密码哈希框架 (PHPass)。它强化了许多针对用户密码的常见攻击。 - jww


答案:


bcrypt 是一种散列算法,可以通过硬件进行扩展(通过可配置的轮数)。它的缓慢和多轮确保攻击者必须部署大量资金和硬件才能破解您的密码。添加到每个密码  (bcrypt 需要盐)你可以肯定,如果没有可笑的资金或硬件,攻击几乎是不可行的。

bcrypt 使用 Eksblowfish 散列密码的算法。而加密阶段 Eksblowfish 和 河豚 完全相同,关键的计划阶段 Eksblowfish 确保任何后续状态都依赖于salt和密钥(用户密码),并且在不知道两者的情况下都不能预先计算任何状态。 由于这个关键的区别, bcrypt 是一种单向散列算法。 在不知道salt,rounds的情况下,您无法检索纯文本密码 和关键 (密码)。 [资源]

如何使用bcrypt:

使用PHP> = 5.5-DEV

密码散列函数 现在已直接构建到PHP> = 5.5。你现在可以使用了 password_hash() 创造一个 bcrypt 任何密码的哈希:

<?php
// Usage 1:
echo password_hash('rasmuslerdorf', PASSWORD_DEFAULT)."\n";
// $2y$10$xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
// For example:
// $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a

// Usage 2:
$options = [
  'cost' => 11
];
echo password_hash('rasmuslerdorf', PASSWORD_BCRYPT, $options)."\n";
// $2y$11$6DP.V0nO7YI3iSki4qog6OQI5eiO6Jnjsqg7vdnb.JgGIsxniOn4C

要根据现有哈希验证用户提供的密码,您可以使用 password_verify() 因此:

<?php
// See the password_hash() example to see where this came from.
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';

if (password_verify('rasmuslerdorf', $hash)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}

使用PHP> = 5.3.7,<5.5-DEV(也是RedHat PHP> = 5.3.3)

有一个 兼容性库 上 GitHub上 基于最初用C编写的上述函数的源代码创建,它提供相同的功能。安装兼容性库后,使用情况与上面相同(如果您仍在5.3.x分支上,则减去简写数组表示法)。

使用PHP <5.3.7 (已弃用)

您可以使用 crypt() 用于生成输入字符串的bcrypt哈希的函数。此类可以自动生成salt并验证输入的现有哈希值。 如果您使用的PHP版本高于或等于5.3.7,强烈建议您使用内置函数或compat库。此替代方案仅用于历史目的。

class Bcrypt{
  private $rounds;

  public function __construct($rounds = 12) {
    if (CRYPT_BLOWFISH != 1) {
      throw new Exception("bcrypt not supported in this installation. See http://php.net/crypt");
    }

    $this->rounds = $rounds;
  }

  public function hash($input){
    $hash = crypt($input, $this->getSalt());

    if (strlen($hash) > 13)
      return $hash;

    return false;
  }

  public function verify($input, $existingHash){
    $hash = crypt($input, $existingHash);

    return $hash === $existingHash;
  }

  private function getSalt(){
    $salt = sprintf('$2a$%02d$', $this->rounds);

    $bytes = $this->getRandomBytes(16);

    $salt .= $this->encodeBytes($bytes);

    return $salt;
  }

  private $randomState;
  private function getRandomBytes($count){
    $bytes = '';

    if (function_exists('openssl_random_pseudo_bytes') &&
        (strtoupper(substr(PHP_OS, 0, 3)) !== 'WIN')) { // OpenSSL is slow on Windows
      $bytes = openssl_random_pseudo_bytes($count);
    }

    if ($bytes === '' && is_readable('/dev/urandom') &&
       ($hRand = @fopen('/dev/urandom', 'rb')) !== FALSE) {
      $bytes = fread($hRand, $count);
      fclose($hRand);
    }

    if (strlen($bytes) < $count) {
      $bytes = '';

      if ($this->randomState === null) {
        $this->randomState = microtime();
        if (function_exists('getmypid')) {
          $this->randomState .= getmypid();
        }
      }

      for ($i = 0; $i < $count; $i += 16) {
        $this->randomState = md5(microtime() . $this->randomState);

        if (PHP_VERSION >= '5') {
          $bytes .= md5($this->randomState, true);
        } else {
          $bytes .= pack('H*', md5($this->randomState));
        }
      }

      $bytes = substr($bytes, 0, $count);
    }

    return $bytes;
  }

  private function encodeBytes($input){
    // The following is code from the PHP Password Hashing Framework
    $itoa64 = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';

    $output = '';
    $i = 0;
    do {
      $c1 = ord($input[$i++]);
      $output .= $itoa64[$c1 >> 2];
      $c1 = ($c1 & 0x03) << 4;
      if ($i >= 16) {
        $output .= $itoa64[$c1];
        break;
      }

      $c2 = ord($input[$i++]);
      $c1 |= $c2 >> 4;
      $output .= $itoa64[$c1];
      $c1 = ($c2 & 0x0f) << 2;

      $c2 = ord($input[$i++]);
      $c1 |= $c2 >> 6;
      $output .= $itoa64[$c1];
      $output .= $itoa64[$c2 & 0x3f];
    } while (true);

    return $output;
  }
}

您可以像这样使用此代码:

$bcrypt = new Bcrypt(15);

$hash = $bcrypt->hash('password');
$isGood = $bcrypt->verify('password', $hash);

或者,您也可以使用 便携式PHP哈希框架


975
2018-06-12 19:23



@The Wicked Flea:很抱歉让你失望,但是 mt_rand() 也使用当前时间和当前进程ID播种。请参见 GENERATE_SEED() 在 /ext/standard/php_rand.h。 - Andrew Moore
@Mike:继续吧,正是因为这个原因! - Andrew Moore
对于任何认为他们需要修改getSalt函数中$ salt字符串的开头的人来说,这是不必要的。 $ 2a $ __是CRYPT_BLOWFISH盐的一部分。来自文档:“Blowfish用盐散列如下:”$ 2a $“,两位数的成本参数,”$“和字母表中的22位数字”。 - jwinn
@MichaelLang:好的 crypt() 然后进行同行评审和验证。上面的代码调用PHP crypt(),它调用POSIX crypt() 功能。上面的所有代码更多的是在调用之前生成一个随机盐(它不必是加密安全的,盐不被认为是秘密) crypt()。 也许你在打电话给狼之前应该自己做一点研究。 - Andrew Moore
请注意,这个答案虽然好,但已开始显示其年龄。这段代码(就像任何依赖的PHP实现一样) crypt())受5.3.7之前的安全漏洞影响,并且在5.3.7之后(非常轻微)低效 - 可以找到相关问题的详细信息 这里。还请注意新的 密码哈希API (向后兼并lib)现在是在您的应用程序中实现bcrypt密码哈希的首选方法。 - DaveRandom


那么,你想使用bcrypt吗? 真棒! 但是,像其他密码学领域一样,你不应该自己做。如果您需要担心管理密钥,存储盐或生成随机数等问题,那么您做错了。

原因很简单:它非常容易 搞砸bcrypt。事实上,如果你仔细查看这个页面上的每一段代码,你会发现它至少违反了其中一个常见问题。

面对它,密码学很难。

留给专家吧。把它留给维护这些库的人。如果你需要做出决定,你做错了。

相反,只需使用一个库。根据您的要求,有几种存在。

图书馆

以下是一些更常见的API的细分。

PHP 5.5 API - (适用于5.3.7+)

从PHP 5.5开始,引入了用于散列密码的新API。 5.3.7+还有(由我)维护的垫片兼容性库。这有利于成为同行评审和 简单 使用实现。

function register($username, $password) {
    $hash = password_hash($password, PASSWORD_BCRYPT);
    save($username, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    if (password_verify($password, $hash)) {
        //login
    } else {
        // failure
    }
}

真的,它的目标是非常简单。

资源:

Zend \ Crypt \ Password \ Bcrypt(5.3.2+)

这是另一个类似于PHP 5.5的API,并且具有类似的用途。

function register($username, $password) {
    $bcrypt = new Zend\Crypt\Password\Bcrypt();
    $hash = $bcrypt->create($password);
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $bcrypt = new Zend\Crypt\Password\Bcrypt();
    if ($bcrypt->verify($password, $hash)) {
        //login
    } else {
        // failure
    }
}

资源:

PasswordLib

这是一种稍微不同的密码散列方法。 PasswordLib不是简单地支持bcrypt,而是支持大量的哈希算法。它主要适用于需要支持与您可能无法控制的旧系统和不同系统兼容的环境。它支持大量的哈希算法。并且支持5.3.2+

function register($username, $password) {
    $lib = new PasswordLib\PasswordLib();
    $hash = $lib->createPasswordHash($password, '$2y$', array('cost' => 12));
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $lib = new PasswordLib\PasswordLib();
    if ($lib->verifyPasswordHash($password, $hash)) {
        //login
    } else {
        // failure
    }
}

参考文献:

PHPASS

这是一个支持bcrypt的层,但是也支持一个相当强大的算法,如果你没有访问PHP> = 5.3.2就很有用......它实际上支持PHP 3.0+(虽然不支持bcrypt)。

function register($username, $password) {
    $phpass = new PasswordHash(12, false);
    $hash = $phpass->HashPassword($password);
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $phpass = new PasswordHash(12, false);
    if ($phpass->CheckPassword($password, $hash)) {
        //login
    } else {
        // failure
    }
}

资源

注意: 不要使用未在openwall上托管的PHPASS替代品,它们是不同的项目!

关于BCrypt

如果您注意到,这些库中的每一个都返回一个字符串。这是因为BCrypt在内部工作。关于这一点,有很多答案。这是我写的一个选择,我不会在这里复制/粘贴,但链接到:

包起来

有很多不同的选择。你选择哪个取决于你。但是,我愿意 高度 建议您使用上述库之一来为您处理此问题。

再次,如果你正在使用 crypt() 直接,你可能做错了什么。如果您的代码正在使用 hash() (要么 md5() 要么 sha1())直接,你几乎肯定做错了什么。

只需使用图书馆......


273
2018-01-25 15:46



盐必须随机生成,但不需要来自安全的随机源。 盐不是秘密。能够猜测下一个盐没有真正的安全影响;只要它们来自足够大的数据池,为每个编码的密码生成不同的盐,你就可以了。请记住,如果您的哈希陷入困境,那么盐就是为了防止使用彩虹表。他们不是秘密。 - Andrew Moore
@AndrewMoore绝对正确!然而,盐必须具有足够的熵以在统计上独特。不仅在您的应用程序中,而且在所有应用程序中。所以 mt_rand() 具有足够高的周期,但种子值仅为32位。所以使用 mt_rand() 有效地限制你只有32位的熵。这要归功于生日问题,这意味着只有7k生成的盐(全局)有50%的碰撞几率。以来 bcrypt 接受128位盐,最好使用可以提供所有128位的源;-)。 (128位,在2e19哈希发生碰撞的几率为50%)... - ircmaxell
@ircmaxell:Hense“足够大的数据池”。但是,您的源不必是非常高的熵源,只有128位才足够高。但是,如果您已经耗尽了所有可用的源(没有OpenSSL等等)并且您唯一的回退是mt_rand(),那么它仍然比替代(rand()更好)。 - Andrew Moore
@AndrewMoore:绝对的。不是在争论。只是 mt_rand 和 uniqid(因此 lcg_value 和 rand)不是第一选择...... - ircmaxell
ircmaxell,非常感谢5.3.xx的password_compat库,我们之前没有需要这个,但现在我们在5.3.xx的php服务器上做了,感谢您明确建议不要尝试这样做自己。 - Lizardx


你会得到很多信息 足够的彩虹表:您需要了解的安全密码方案 要么 便携式PHP密码哈希框架

目标是用一些缓慢的密码对密码进行哈希处理,这样得到你的密码数据库的人就会试图暴力破解它(检查密码的10毫秒延迟对你来说没什么,对于那些试图暴力破解它的人来说很多)。 Bcrypt 很慢,可以与参数一起使用来选择它的速度。


43
2018-01-25 15:48



实施您想要的任何内容,用户将设法搞砸并在多个事物上使用相同的密码。因此,您必须尽可能地保护它或实现一些不必存储任何密码(SSO,openID等)的东西。 - Arkh
密码哈希用于防止一次攻击:有人偷了你的数据库,想要获得明文登录+密码。 - Arkh
@Josh K.我鼓励你在通过phpass调整之后尝试破解一些简单的密码,这样在你的网络服务器上计算它需要1ms到10ms。 - Arkh
同意。但是那种使用qwerty作为密码的用户也是那种能够在任何地方标记任何复杂的用户的人(而且攻击者)可以轻松地阅读它。使用bcrypt实现的是,当你的数据库违背你的意愿公开时,对于那些拥有某些密码(如^ | $$和ZL6-)的用户来说,比在一次通过中使用sha512更难。 - Arkh
@coreyward值得注意的是,做到这一点比没有阻止更有害;这很容易被认为是“拒绝服务”的载体。只需开始在任何已知帐户上发送垃圾邮件,就可以非常轻松地破坏许多用户。对攻击者进行tarpit(延迟)比直接拒绝访问更好,特别是如果它是付费客户。 - damianb


您可以使用PHP创建一个使用bcrypt的单向哈希 crypt() 功能和传入适当的Blowfish盐。整个等式中最重要的是A)算法没有受到损害而且B) 你适当地加密每个密码。不要使用全应用盐;这会打开整个应用程序,从一组Rainbow表中进行攻击。

PHP - 加密函数


34
2017-10-31 08:25



这是正确的方法 - 使用PHP crypt() function,支持多种不同的密码散列函数。确保你没有使用 CRYPT_STD_DES 要么 CRYPT_EXT_DES  - 任何其他支持的类型都很好(并包括名称下的bcrypt) CRYPT_BLOWFISH)。 - caf
SHA确实也有一个成本参数,通过'rounds'选项。使用它时,我也没有理由支持bcrypt。 - Pieter Ennes
实际上,密码的单个SHA-1(或MD5)仍然很容易暴力破解,有或没有盐(盐有助于彩虹表,而不是暴力强制)。使用bcrypt。 - Paŭlo Ebermann
我觉得令人不安的是,当他们的意思是php的crypt()时,每个人似乎都会说“bcrypt”。 - Sliq
@Panique为什么?该算法被调用 bcrypt。 crypt 暴露了几个密码哈希,与bcrypt对应 CRYPT_BLOWFISH 不变。 Bcrypt是目前支持的最强算法 crypt 它支持的其他几个很弱。 - CodesInChaos



编辑:2013.01.15 - 如果您的服务器支持它,请使用 martinstoeckli的解决方案 代替。


每个人都想让它变得更复杂。 crypt()函数完成大部分工作。

function blowfishCrypt($password,$cost)
{
    $chars='./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
    $salt=sprintf('$2y$%02d$',$cost);
//For PHP < PHP 5.3.7 use this instead
//    $salt=sprintf('$2a$%02d$',$cost);
    //Create a 22 character salt -edit- 2013.01.15 - replaced rand with mt_rand
    mt_srand();
    for($i=0;$i<22;$i++) $salt.=$chars[mt_rand(0,63)];
    return crypt($password,$salt);
}

例:

$hash=blowfishCrypt('password',10); //This creates the hash
$hash=blowfishCrypt('password',12); //This creates a more secure hash
if(crypt('password',$hash)==$hash){ /*ok*/ } //This checks a password

我知道这应该是显而易见的,但请不要使用“密码”作为密码。


32
2018-01-11 08:07



盐的创建可以改进(使用操作系统的随机源),否则它看起来不错。对于较新的PHP版本,最好使用 2y 代替 2a。 - martinstoeckli
使用 mcrypt_create_iv($size, MCRYPT_DEV_URANDOM) 作为盐的来源。 - CodesInChaos
当我得到片刻时,我会仔细看看mcrypt_create_iv(),如果没有别的话,它应该稍微提高性能。 - Jon Hulka
添加Base64编码并转换为自定义字母 bcrypt 使用。 mcrypt_create_iv(17, MCRYPT_DEV_URANDOM), str_replace('+', '.', base64_encode($rawSalt)), $salt = substr($salt, 0, 22); - CodesInChaos
@JonHulka - 看看PHP的 兼容包[第127行],这是一个简单的实现。 - martinstoeckli


PHP 5.5版本将内置支持BCrypt的功能 password_hash() 和 password_verify()。实际上这些只是功能的包装 crypt(),并使其更容易正确使用。它负责生成安全的随机盐,并提供良好的默认值。

使用此功能的最简单方法是:

$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

此代码将使用BCrypt(算法)对密码进行哈希处理 2y),从OS随机源生成随机盐,并使用默认成本参数(此时为10)。如果用户输入的密码与已存储的哈希值匹配,则第二行检查。

如果要更改成本参数,可以这样做,将成本参数增加1,将计算哈希值所需的时间加倍:

$hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 11));

与之相反 "cost" 参数,最好省略 "salt" 参数,因为该函数已经尽力创建一个加密安全的盐。

对于PHP 5.3.7及更高版本,存在一个 兼容包,来自同一位作者 password_hash() 功能。对于5.3.7之前的PHP版本,不支持 crypt() 同 2y,unicode安全的BCrypt算法。人们可以用它代替它 2a,这是早期PHP版本的最佳替代品。


24
2018-02-19 14:17



在我读完之后,我的第一个想法是“你如何储存产生的盐”?在浏览文档之后,password_hash()函数最终生成一个字符串,用于存储加密方法,salt和生成的哈希。因此,它只是将所需的一切存储在一个字符串中,以使password_verify()函数起作用。只是想提一下,因为当他们看到这个时它可能会帮助别人。 - jzimmerman2011
@ jzimmerman2011 - 确切地说,在另一个 回答 我试图用一个例子来解释这种存储格式。 - martinstoeckli


另一种方法是使用scrypt,专门设计为优于Colin Percival的bcrypt 他的论文。有一个 在PECL中scrypt PHP扩展。理想情况下,这个算法将被转换为PHP,以便可以为password_ *函数指定(理想情况下为“PASSWORD_SCRYPT”),但那还没有。


5
2017-12-07 20:56





目前的想法:哈希应该是最慢的,而不是最快的。这抑制了 彩虹桌 攻击。

也相关,但预防:攻击者永远不应无限制地访问您的登录屏幕。为了防止这种情况:设置一个IP地址跟踪表,记录每次匹配以及URI。如果在任何五分钟内从同一IP地址登录的次数超过5次,请进行解释。第二种方法是拥有一个双层密码方案,就像银行一样。在第二次通过时锁定故障会提高安全性。

摘要:使用耗时的哈希函数减慢攻击者的速度。此外,阻止对您的登录进行过多访问,并添加第二个密码层。


4
2018-03-25 16:55



我认为他们认为攻击者已经设法通过其他方式窃取我的数据库,现在正试图获取密码以便在paypal或其他东西上尝试。 - Vilx-
在2012年的中途,这个答案仍然不稳定,缓慢的哈希算法如何防止彩虹表攻击?我以为随机字节范围盐了吗?我一直认为哈希算法的速度决定了他们可以针对他们在特定时间内得到的哈希发送多少次迭代。也绝不会在失败登录时阻止用户ATTEMPTS相信我的用户会厌倦,经常在某些网站上我需要登录近5次,有时候我还记得我的密码。第二次传递层也不起作用,但是可以使用手机代码进行两步验证。 - Sammaye
@Sammaye我同意这一点。我在5次失败的登录尝试中设置了一个块,然后迅速将其提升到7,然后是10坐在20上。没有普通用户应该有20次失败的登录尝试但是它足够低以轻松阻止暴力攻击 - Bruce Aldridge
@BruceAldridge我个人认为最好让你的脚本暂停一段时间,然后说7次登录失败并显示验证码而不是阻止。阻止是一个非常积极的举动。 - Sammaye
@Sammaye我同意永久性的阻止是不好的。我指的是一个临时块,随着尝试失败次数的增加而增加。 - Bruce Aldridge