PHP 5.5: Sichere Passwörter mit neuem Crypt-API
PHP 5.5 erhält ein neues API zu Passwort-Hashing. (Bild: PHP-Projekt)

PHP 5.5 Sichere Passwörter mit neuem Crypt-API

Ein neues API soll in PHP 5.5 für sichere Passwörter sorgen. Entwickler sollen damit animiert werden, Passwörter mit Bcrypt zu hashen statt wie bisher meist mit Md5 oder Sha1.

Anzeige

Mit einem neuen Crypt-API sollen Entwickler sicheres Passwort-Hashing nutzen können. Das Secure Password Hashing API wurde bereits für die bevorstehende Version 5.5 von PHP akzeptiert. Das bislang verwendete API sei zu kompliziert gewesen, um ein sicheres Passwort-Hashing mit Bcrypt umzusetzen, schreibt das PHP-Team.

Standard in dem neuen API ist Passwort-Hashing mit Bcrypt. Bislang griffen viele Entwickler noch auf die beiden unsicheren Hashing-Verfahren Sha1 und Md5 aus Bequemlichkeit zurück. Das zeigen auch die zahlreichen erfolgreichen Angriffe in der letzten Zeit. Mit dem einfacher gehaltenen neuen API soll das Hashing nicht nur simpler, sondern auch konfigurierbarer werden.

Standardmäßig Bcrypt mit Faktor 10

Standardmäßig sollen Passwörter künftig mit der Zeile $hash = password_hash($password, PASSWORD_DEFAULT); gehasht werden. Dabei wird Bcrypt mit dem Faktor 10 verwendet und automatisch mit einer zufällig gewählten Zeichenfolge (Salt) versehen. Mit $hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]); kann der Faktor erhöht werden, was allerdings mehr Rechenleistung kostet.

Die Verifizierung der Passwörter ist mit der If-Zeile if (password_verify($password, $hash)) erledigt. Die Standardeinstellungen für Salt und Algorithmus (Bcrypt) werden dabei automatisch berücksichtigt.

Anpassungsfähig

Auch die spätere Erhöhung des Faktors kann PHP automatisch erledigen, etwa mit der Zeile if (password_needs_rehash($hash, PASSWORD_DEFAULT)) {$hash = password_hash($password, PASSWORD_DEFAULT);}.

Das neue API kann bereits in aktuellen Versionen von PHP genutzt werden. Der entsprechende Code steht auf einem Github-Server zum Download bereit. Bei einem Update auf PHP 5.5 wird der Code automatisch deaktiviert.


slashwalker 17. Sep 2012

Hä bitte? Wo verwendet das Script AND? erzeugt einen SHA-512 hash aus Passwort+Salt...

redmord 14. Sep 2012

Darüber hinaus muss der in der DB abgelegte Salt ja nur einem Teil des eigentlich...

BLUBBBEL 14. Sep 2012

Netter Fail: Für WEP kann man keine 100 Zeichen verwenden... Und wer heute noch MD5...

c3rl 13. Sep 2012

Hier im Forum ist echt viel Halbwissen unterwegs :-/ Damit wir das ein für alle mal...

Kommentieren



Anzeige

  1. IT-Projektmanager (m/w) für den Bereich SAP PP/MM
    Sirona Dental Systems GmbH, Bensheim
  2. Software-Entwickler (m/w) SAP IS-U
    Stadtwerke München GmbH, München
  3. Wirtschaftsinformatiker / Betriebswirt (m/w)
    iOMEDICO AG, Freiburg
  4. Softwareentwickler / Developer / Programmierer C# (m/w)
    bayoonet AG, Darmstadt

 

Detailsuche


Folgen Sie uns
       


  1. VESA-Standard

    Displayport 1.3 A/V für 5K-Displays ist fertig

  2. Panasonic

    Lumix GM5 ist ein Systemkamera-Winzling

  3. Panasonic CM1

    Android-Smartphone mit 1 Zoll großem Bildsensor

  4. Canon

    EOS 7D Mark II - die DSLR für Action-Aufnahmen

  5. Webtorrent

    Bittorrent im Browser dank WebRTC

  6. Bayern

    Datenschutzbeauftragter mahnt mangelnde Verschlüsselung an

  7. Medion Akoya P2214T

    2in1 mit FullHD und Atom-Celeron bei Aldi-Nord

  8. Panasonic LX100

    4K-Konkurrenz für die Sony RX100

  9. Überwachung in Neuseeland

    Snowden und Assange unterstützen Dotcom im Wahlkampf

  10. Minecraft

    Microsoft kauft Mojang



Haben wir etwas übersehen?

E-Mail an news@golem.de



Neues Moto X im Hands On: Motorolas echtes Topsmartphone
Neues Moto X im Hands On
Motorolas echtes Topsmartphone
  1. Neues Moto G im Hands On Mach's noch einmal, Motorola
  2. Skip 2 Motorolas Schlüsselanhänger für Vergessliche entfleucht
  3. Android Motorola arbeitet an einem 7-Zoll-Tablet

Intel Core i7-5960X im Test: Die PC-Revolution beginnt mit Octacore und DDR4
Intel Core i7-5960X im Test
Die PC-Revolution beginnt mit Octacore und DDR4
  1. Intels Desktop-Chefin im Interview "Wir hatten unsere loyalsten Kunden frustriert"
  2. Intel Core i7-5960X X99-Mainboards angebrannt
  3. Für Core i7-5960X X99-Mainboards ab 200 Euro oder mit Streaming-CPU

Amazons Fire Phone im Kurztest: Überzeugendes Bedienungskonzept und clevere Funktionen
Amazons Fire Phone im Kurztest
Überzeugendes Bedienungskonzept und clevere Funktionen
  1. Trade-In Amazon.de kauft gebrauchte Smartphones und Tablets an
  2. Vor dem Netflix-Marktstart Amazons Video-Streaming-App für Android ist da
  3. Set-Top-Box Amazon.de verschiebt Lieferung für Fire TV auf 2015

    •  / 
    Zum Artikel