PHP 5.5: Sichere Passwörter mit neuem Crypt-API
PHP 5.5 erhält ein neues API zu Passwort-Hashing. (Bild: PHP-Projekt)

PHP 5.5 Sichere Passwörter mit neuem Crypt-API

Ein neues API soll in PHP 5.5 für sichere Passwörter sorgen. Entwickler sollen damit animiert werden, Passwörter mit Bcrypt zu hashen statt wie bisher meist mit Md5 oder Sha1.

Anzeige

Mit einem neuen Crypt-API sollen Entwickler sicheres Passwort-Hashing nutzen können. Das Secure Password Hashing API wurde bereits für die bevorstehende Version 5.5 von PHP akzeptiert. Das bislang verwendete API sei zu kompliziert gewesen, um ein sicheres Passwort-Hashing mit Bcrypt umzusetzen, schreibt das PHP-Team.

Standard in dem neuen API ist Passwort-Hashing mit Bcrypt. Bislang griffen viele Entwickler noch auf die beiden unsicheren Hashing-Verfahren Sha1 und Md5 aus Bequemlichkeit zurück. Das zeigen auch die zahlreichen erfolgreichen Angriffe in der letzten Zeit. Mit dem einfacher gehaltenen neuen API soll das Hashing nicht nur simpler, sondern auch konfigurierbarer werden.

Standardmäßig Bcrypt mit Faktor 10

Standardmäßig sollen Passwörter künftig mit der Zeile $hash = password_hash($password, PASSWORD_DEFAULT); gehasht werden. Dabei wird Bcrypt mit dem Faktor 10 verwendet und automatisch mit einer zufällig gewählten Zeichenfolge (Salt) versehen. Mit $hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]); kann der Faktor erhöht werden, was allerdings mehr Rechenleistung kostet.

Die Verifizierung der Passwörter ist mit der If-Zeile if (password_verify($password, $hash)) erledigt. Die Standardeinstellungen für Salt und Algorithmus (Bcrypt) werden dabei automatisch berücksichtigt.

Anpassungsfähig

Auch die spätere Erhöhung des Faktors kann PHP automatisch erledigen, etwa mit der Zeile if (password_needs_rehash($hash, PASSWORD_DEFAULT)) {$hash = password_hash($password, PASSWORD_DEFAULT);}.

Das neue API kann bereits in aktuellen Versionen von PHP genutzt werden. Der entsprechende Code steht auf einem Github-Server zum Download bereit. Bei einem Update auf PHP 5.5 wird der Code automatisch deaktiviert.


slashwalker 17. Sep 2012

Hä bitte? Wo verwendet das Script AND? erzeugt einen SHA-512 hash aus Passwort+Salt...

redmord 14. Sep 2012

Darüber hinaus muss der in der DB abgelegte Salt ja nur einem Teil des eigentlich...

BLUBBBEL 14. Sep 2012

Netter Fail: Für WEP kann man keine 100 Zeichen verwenden... Und wer heute noch MD5...

c3rl 13. Sep 2012

Hier im Forum ist echt viel Halbwissen unterwegs :-/ Damit wir das ein für alle mal...

Kommentieren



Anzeige

  1. Senior Java Entwickler (m/w) Bereich Card Issuing
    Wirecard Technologies GmbH, Aschheim bei München
  2. Senior Software Engineer - Android (m/w)
    hotel.de AG, Nürnberg
  3. Forschungsingenieur (m/w) im Themenfeld User Modeling
    Robert Bosch GmbH, Renningen
  4. Wissenschaftliche Mitarbeiterin / Wissenschaftlicher Mitarbeiter
    Fraunhofer-Institut für Optronik, Systemtechnik und Bildauswertung IOSB, Karlsruhe

 

Detailsuche


Folgen Sie uns
       


  1. Basketball wichtiger

    Steve Ballmer gibt Microsoft-Vorstandsposten auf

  2. One (M8) for Windows

    HTCs Topsmartphone mit Windows Phone 8.1

  3. iFixit

    Project Tango Tablet wird zerlegt

  4. Ubisoft

    Abkehr von Xbox 360 und PS3 ab 2015

  5. Digitale Agenda

    38 Seiten Angst vor festen Zusagen

  6. Tarnen wie ein Tintenfisch

    Forscher entwickeln künstlichen Tarnmechanismus

  7. Alienware Alpha ausprobiert

    Fast lautlose Steam-Machine mit eigenem Windows-UI

  8. IT-Sicherheitsgesetz

    Telekomfirmen müssen Nutzer über Cyberangriffe informieren

  9. Forschung

    Kameraüberwachung im Auto gegen Handysünder

  10. Xbox One

    Technische Probleme nach August-Update



Haben wir etwas übersehen?

E-Mail an news@golem.de



Alternatives Android im Überblick: Viele Wege führen nach ROM
Alternatives Android im Überblick
Viele Wege führen nach ROM
  1. Paranoid Android Zweite Betaversion von PA 4.5 veröffentlicht
  2. Cyanogenmod CM11s Oneplus verteilt Android 4.4.4 für das One
  3. Android-x86 Neue stabile Version des Android-ROMs für PCs veröffentlicht

Cyberith Virtualizer ausprobiert: Virtuelles Laufen ist anstrengend
Cyberith Virtualizer ausprobiert
Virtuelles Laufen ist anstrengend
  1. Cyberith Virtualizer In die Socken, Kickstart, los!
  2. Gear VR Samsungs VR-Brille soll auf der Ifa vorgestellt werden
  3. Virtual Reality Samsung entwickelt VR-Brille gemeinsam mit Oculus

Frauen und IT: "Frauen sind Naturtalente im Programmieren"
Frauen und IT
"Frauen sind Naturtalente im Programmieren"
  1. Samwer United Internet kauft großen Anteil von Rocket Internet
  2. Payfriendz Geld kostenlos per App überweisen
  3. Oliver Samwer "Sehr viele Unternehmen haben wir zu früh verkauft"

    •  / 
    Zum Artikel