PHP 5.5 erhält ein neues API zu Passwort-Hashing.
PHP 5.5 erhält ein neues API zu Passwort-Hashing. (Bild: PHP-Projekt)

PHP 5.5 Sichere Passwörter mit neuem Crypt-API

Ein neues API soll in PHP 5.5 für sichere Passwörter sorgen. Entwickler sollen damit animiert werden, Passwörter mit Bcrypt zu hashen statt wie bisher meist mit Md5 oder Sha1.

Anzeige

Mit einem neuen Crypt-API sollen Entwickler sicheres Passwort-Hashing nutzen können. Das Secure Password Hashing API wurde bereits für die bevorstehende Version 5.5 von PHP akzeptiert. Das bislang verwendete API sei zu kompliziert gewesen, um ein sicheres Passwort-Hashing mit Bcrypt umzusetzen, schreibt das PHP-Team.

Standard in dem neuen API ist Passwort-Hashing mit Bcrypt. Bislang griffen viele Entwickler noch auf die beiden unsicheren Hashing-Verfahren Sha1 und Md5 aus Bequemlichkeit zurück. Das zeigen auch die zahlreichen erfolgreichen Angriffe in der letzten Zeit. Mit dem einfacher gehaltenen neuen API soll das Hashing nicht nur simpler, sondern auch konfigurierbarer werden.

Standardmäßig Bcrypt mit Faktor 10

Standardmäßig sollen Passwörter künftig mit der Zeile $hash = password_hash($password, PASSWORD_DEFAULT); gehasht werden. Dabei wird Bcrypt mit dem Faktor 10 verwendet und automatisch mit einer zufällig gewählten Zeichenfolge (Salt) versehen. Mit $hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]); kann der Faktor erhöht werden, was allerdings mehr Rechenleistung kostet.

Die Verifizierung der Passwörter ist mit der If-Zeile if (password_verify($password, $hash)) erledigt. Die Standardeinstellungen für Salt und Algorithmus (Bcrypt) werden dabei automatisch berücksichtigt.

Anpassungsfähig

Auch die spätere Erhöhung des Faktors kann PHP automatisch erledigen, etwa mit der Zeile if (password_needs_rehash($hash, PASSWORD_DEFAULT)) {$hash = password_hash($password, PASSWORD_DEFAULT);}.

Das neue API kann bereits in aktuellen Versionen von PHP genutzt werden. Der entsprechende Code steht auf einem Github-Server zum Download bereit. Bei einem Update auf PHP 5.5 wird der Code automatisch deaktiviert.


slashwalker 17. Sep 2012

Hä bitte? Wo verwendet das Script AND? erzeugt einen SHA-512 hash aus Passwort+Salt...

redmord 14. Sep 2012

Darüber hinaus muss der in der DB abgelegte Salt ja nur einem Teil des eigentlich...

BLUBBBEL 14. Sep 2012

Netter Fail: Für WEP kann man keine 100 Zeichen verwenden... Und wer heute noch MD5...

c3rl 13. Sep 2012

Hier im Forum ist echt viel Halbwissen unterwegs :-/ Damit wir das ein für alle mal...

Kommentieren



Anzeige

  1. Release- und Integrationsmanager/-in für das Projekt MBconnect
    Daimler AG, Stuttgart
  2. Mitarbeiter Qualitätssicherung (m/w)
    ipoque GmbH, Leipzig
  3. (Senior) Manager Enterprise Architecture/IT-Transformati- on (m/w)
    Media-Saturn-Holding GmbH, Ingolstadt
  4. Frontend Entwickler AngularJS (m/w)
    STAFF FINDER AG, Zürich (Schweiz)

 

Detailsuche


Spiele-Angebote
  1. PS4 + Bloodborne + 2 Controller + Cam
    399,00€
  2. God of War 3 Remastered - [PlayStation 4]
    49,00€ (Release 15. Juli)
  3. VORBESTELLBAR: Until Dawn Extended Edition PS4
    69,95€

 

Weitere Angebote


Folgen Sie uns
       


  1. Googles Project Vault

    Der Krypto-Rechner auf der SD-Karte

  2. Project Jacquard

    Google webt Trackpads aus Stoff in Kleidungsstücke

  3. Project Abacus

    Google will Passwörter eliminieren

  4. Apple

    Tim Cook spendet 50.000 Apple-Aktien für wohltätige Zwecke

  5. Unsichere Apps

    Millionen Kundendaten gefährdet

  6. Silk-Road-Prozess

    Lebenslange Haft für Ross Ulbricht

  7. Die Woche im Video

    Rasende Rennautos, gemächliches Google, schnelles Smartphone

  8. Kritische Infrastruktur

    Weitere Beweise für Geheimdienstangriff auf Bundestag

  9. Überwachung

    Berliner abgehört - aus Protest gegen die NSA

  10. Tor

    Hidden Services leichter zu deanonymisieren



Haben wir etwas übersehen?

E-Mail an news@golem.de



Soziales Netzwerk Sociax: Das Facebook mit mehr Privatsphäre
Soziales Netzwerk Sociax
Das Facebook mit mehr Privatsphäre
  1. Nepal Facebook, Google und Openstreetmap helfen Erdbebenopfern
  2. Karrierenetzwerk LinkedIn will Zukauf für 1,5 Milliarden US-Dollar
  3. Soziale Netzwerke Vernetzt und zugenäht!

Berlin E-Prix: Motoren, die nach Star Wars klingen
Berlin E-Prix
Motoren, die nach Star Wars klingen
  1. Funktechnik Daimler und Qualcomm vernetzen das Auto

Apps für Googles Cardboard: Her mit der Pappe!
Apps für Googles Cardboard
Her mit der Pappe!
  1. Game of Thrones Auf der Mauer weht ein eisiger Wind
  2. VR im Journalismus So nah, dass es fast wehtut
  3. Deep angespielt "Atme tief ein und tauche durch die virtuelle Welt"

  1. Re: Wieso?

    Eheran | 00:30

  2. Re: Krass!

    BilboBeutlin | 00:22

  3. Re: Wie funktioniert das?

    Nocta | 00:21

  4. Re: Unglaublich, was für eine Nachricht, 6...

    Chardonnay | 00:20

  5. Re: Wer nutzt eigentlich noch (aktiv) Dienste von...

    Clarissa1986 | 00:16


  1. 16:27

  2. 14:12

  3. 13:39

  4. 12:55

  5. 12:21

  6. 11:04

  7. 09:01

  8. 18:56


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel