PHP 5.5 erhält ein neues API zu Passwort-Hashing.
PHP 5.5 erhält ein neues API zu Passwort-Hashing. (Bild: PHP-Projekt)

PHP 5.5 Sichere Passwörter mit neuem Crypt-API

Ein neues API soll in PHP 5.5 für sichere Passwörter sorgen. Entwickler sollen damit animiert werden, Passwörter mit Bcrypt zu hashen statt wie bisher meist mit Md5 oder Sha1.

Anzeige

Mit einem neuen Crypt-API sollen Entwickler sicheres Passwort-Hashing nutzen können. Das Secure Password Hashing API wurde bereits für die bevorstehende Version 5.5 von PHP akzeptiert. Das bislang verwendete API sei zu kompliziert gewesen, um ein sicheres Passwort-Hashing mit Bcrypt umzusetzen, schreibt das PHP-Team.

Standard in dem neuen API ist Passwort-Hashing mit Bcrypt. Bislang griffen viele Entwickler noch auf die beiden unsicheren Hashing-Verfahren Sha1 und Md5 aus Bequemlichkeit zurück. Das zeigen auch die zahlreichen erfolgreichen Angriffe in der letzten Zeit. Mit dem einfacher gehaltenen neuen API soll das Hashing nicht nur simpler, sondern auch konfigurierbarer werden.

Standardmäßig Bcrypt mit Faktor 10

Standardmäßig sollen Passwörter künftig mit der Zeile $hash = password_hash($password, PASSWORD_DEFAULT); gehasht werden. Dabei wird Bcrypt mit dem Faktor 10 verwendet und automatisch mit einer zufällig gewählten Zeichenfolge (Salt) versehen. Mit $hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]); kann der Faktor erhöht werden, was allerdings mehr Rechenleistung kostet.

Die Verifizierung der Passwörter ist mit der If-Zeile if (password_verify($password, $hash)) erledigt. Die Standardeinstellungen für Salt und Algorithmus (Bcrypt) werden dabei automatisch berücksichtigt.

Anpassungsfähig

Auch die spätere Erhöhung des Faktors kann PHP automatisch erledigen, etwa mit der Zeile if (password_needs_rehash($hash, PASSWORD_DEFAULT)) {$hash = password_hash($password, PASSWORD_DEFAULT);}.

Das neue API kann bereits in aktuellen Versionen von PHP genutzt werden. Der entsprechende Code steht auf einem Github-Server zum Download bereit. Bei einem Update auf PHP 5.5 wird der Code automatisch deaktiviert.


slashwalker 17. Sep 2012

Hä bitte? Wo verwendet das Script AND? erzeugt einen SHA-512 hash aus Passwort+Salt...

redmord 14. Sep 2012

Darüber hinaus muss der in der DB abgelegte Salt ja nur einem Teil des eigentlich...

BLUBBBEL 14. Sep 2012

Netter Fail: Für WEP kann man keine 100 Zeichen verwenden... Und wer heute noch MD5...

c3rl 13. Sep 2012

Hier im Forum ist echt viel Halbwissen unterwegs :-/ Damit wir das ein für alle mal...

Kommentieren



Anzeige

  1. Anwendungsbetreuer/in Kapitalmarkt / Risikomanagement
    Deutsche Genossenschafts-Hypothekenbank AG, Hamburg
  2. IT-Architekt/-in für SAP-Logistiksysteme
    Daimler AG, Sindelfingen
  3. Software Engineer Speech Recognition (m/w)
    Garmin Würzburg GmbH, Würzburg
  4. Entwickler Elektrotechnik (m/w)
    ROTA Yokogawa GmbH & Co. KG, Wehr am Rhein

 

Detailsuche


Top-Angebote
  1. Blu-rays je 7,97 EUR
    (u. a. Fast & Furious 6, Bad Neighbors, Oblivion, The Purge)
  2. NEU: Samsung Ultra HD-Monitor U28D590D LED UHD TN
    327,99€ inkl. Versand
  3. AMAZON-FILMAKTION (02.03.-08.03.): 5 Blu-rays für 30 EUR
    (u. a. Fast & Furious 6, Prisoners, Bad Neighbors, Oblivion, Sinister)

 

Weitere Angebote


Folgen Sie uns
       


  1. Globales Transportnetz

    China will längsten Tunnel am Meeresgrund bauen

  2. Google

    Chrome-Support für Android 4.0 wird eingestellt

  3. Valve

    Kostenlose Source-2-Engine bietet Vulkan-Unterstützung

  4. Gitlab kauft Gitorious

    Stärkere Open-Source-Konkurrenz für Github

  5. Lenovo Vibe Shot im Hands On

    Überzeugendes Kamera-Smartphone für 350 US-Dollar

  6. Malware

    Microsoft rät, Windows-7-DVD von PC Fritz zu vernichten

  7. BQ Aquaris E4.5 angesehen

    Das erste Ubuntu-Smartphone macht Lust auf mehr

  8. Koenigsegg Regera

    Erster Hybridsupersportwagen fährt ohne Getriebe

  9. Unreal Tournament

    Shock Rifle zücken, DM-Outpost23 wartet!

  10. Spionageverdacht

    Kryptohandy von NSA-Ausschuss-Chef womöglich gehackt



Haben wir etwas übersehen?

E-Mail an news@golem.de



Raspberry Pi 2: Die Feierabend-Maschine
Raspberry Pi 2
Die Feierabend-Maschine
  1. Bastelrechner Das Raspberry Pi 2 hat viermal mehr Wumms
  2. Dual-Monitor-Betrieb VGA-Anschluss für Plus-Modelle des Raspberry Pi
  3. Bitscope Micro im Test Oszilloskop und Logic Analyzer für den Bastelrechner

Jolla Tablet im Hands on: Sailfish OS funktioniert auch auf dem Tablet
Jolla Tablet im Hands on
Sailfish OS funktioniert auch auf dem Tablet
  1. Sailfish-OS-Tablet Jolla geht in die nächste Runde

Test USB 3.1 mit Stecker Typ C: Die Alleskönner-Schnittstelle
Test USB 3.1 mit Stecker Typ C
Die Alleskönner-Schnittstelle
  1. Die Woche im Video Abenteurer, Adware und ein fixer Anschluss
  2. Mit Stecker Typ C Asrock stattet Intel-Mainboards mit USB-3.1-Karte aus
  3. USB 3.1 Richtig schnelle Mangelware

  1. Re: FullHD @ 120 Hz auf der PS4

    Hotohori | 16:13

  2. Re: Weit unter Marktpreis?

    kockott | 16:13

  3. Re: Video...

    waswiewo | 16:12

  4. Re: Kaugummiautomat

    Jost aus Soest | 16:12

  5. Re: was sich wohl einige Endkunden wünschen

    Chantalle47 | 16:11


  1. 16:14

  2. 15:37

  3. 15:32

  4. 13:56

  5. 13:38

  6. 12:25

  7. 12:04

  8. 11:57


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel