Abo
  • Services:
Anzeige
PHP 5.5 erhält ein neues API zu Passwort-Hashing.
PHP 5.5 erhält ein neues API zu Passwort-Hashing. (Bild: PHP-Projekt)

PHP 5.5: Sichere Passwörter mit neuem Crypt-API

PHP 5.5 erhält ein neues API zu Passwort-Hashing.
PHP 5.5 erhält ein neues API zu Passwort-Hashing. (Bild: PHP-Projekt)

Ein neues API soll in PHP 5.5 für sichere Passwörter sorgen. Entwickler sollen damit animiert werden, Passwörter mit Bcrypt zu hashen statt wie bisher meist mit Md5 oder Sha1.

Mit einem neuen Crypt-API sollen Entwickler sicheres Passwort-Hashing nutzen können. Das Secure Password Hashing API wurde bereits für die bevorstehende Version 5.5 von PHP akzeptiert. Das bislang verwendete API sei zu kompliziert gewesen, um ein sicheres Passwort-Hashing mit Bcrypt umzusetzen, schreibt das PHP-Team.

Anzeige

Standard in dem neuen API ist Passwort-Hashing mit Bcrypt. Bislang griffen viele Entwickler noch auf die beiden unsicheren Hashing-Verfahren Sha1 und Md5 aus Bequemlichkeit zurück. Das zeigen auch die zahlreichen erfolgreichen Angriffe in der letzten Zeit. Mit dem einfacher gehaltenen neuen API soll das Hashing nicht nur simpler, sondern auch konfigurierbarer werden.

Standardmäßig Bcrypt mit Faktor 10

Standardmäßig sollen Passwörter künftig mit der Zeile $hash = password_hash($password, PASSWORD_DEFAULT); gehasht werden. Dabei wird Bcrypt mit dem Faktor 10 verwendet und automatisch mit einer zufällig gewählten Zeichenfolge (Salt) versehen. Mit $hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]); kann der Faktor erhöht werden, was allerdings mehr Rechenleistung kostet.

Die Verifizierung der Passwörter ist mit der If-Zeile if (password_verify($password, $hash)) erledigt. Die Standardeinstellungen für Salt und Algorithmus (Bcrypt) werden dabei automatisch berücksichtigt.

Anpassungsfähig

Auch die spätere Erhöhung des Faktors kann PHP automatisch erledigen, etwa mit der Zeile if (password_needs_rehash($hash, PASSWORD_DEFAULT)) {$hash = password_hash($password, PASSWORD_DEFAULT);}.

Das neue API kann bereits in aktuellen Versionen von PHP genutzt werden. Der entsprechende Code steht auf einem Github-Server zum Download bereit. Bei einem Update auf PHP 5.5 wird der Code automatisch deaktiviert.


eye home zur Startseite
slashwalker 17. Sep 2012

Hä bitte? Wo verwendet das Script AND? erzeugt einen SHA-512 hash aus Passwort+Salt...

redmord 14. Sep 2012

Darüber hinaus muss der in der DB abgelegte Salt ja nur einem Teil des eigentlich...

BLUBBBEL 14. Sep 2012

Netter Fail: Für WEP kann man keine 100 Zeichen verwenden... Und wer heute noch MD5...

c3rl 13. Sep 2012

Hier im Forum ist echt viel Halbwissen unterwegs :-/ Damit wir das ein für alle mal...



Anzeige

Stellenmarkt
  1. Daimler AG, Leinfelden-Echterdingen
  2. Daimler AG, Sindelfingen
  3. Comline AG, Oldenburg
  4. über Ratbacher GmbH, Raum Oldenburg


Anzeige
Top-Angebote
  1. 2.999,00€ (Vergleichspreis ab 3.895€)
  2. 559,00€

Folgen Sie uns
       

Anzeige
Whitepaper
  1. Globale SAP-Anwendungsunterstützung durch Outsourcing
  2. Praxiseinsatz, Nutzen und Grenzen von Hadoop und Data Lakes


  1. LTE

    Telekom führt Narrowband-IoT-Netz in Deutschland ein

  2. Deep Learning

    Wenn die KI besser prügelt als Menschen

  3. Firepower 2100

    Cisco stellt Firewall für KMU-Bereich vor

  4. Autonomes Fahren

    Briten verlieren Versicherungsschutz ohne Software-Update

  5. Kollisionsangriff

    Hashfunktion SHA-1 gebrochen

  6. AVM

    Fritzbox für Super Vectoring weiter nicht verfügbar

  7. Nintendo Switch eingeschaltet

    Zerstückelte Konsole und gigantisches Handheld

  8. Trappist-1

    Der Zwerg und die sieben Planeten

  9. Botnetz

    Wie Mirai Windows als Sprungbrett nutzt

  10. Server

    IBM stellt Komplettsystem für kleine Unternehmen vor



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
XPS 13 (9360) im Test: Wieder ein tolles Ultrabook von Dell
XPS 13 (9360) im Test
Wieder ein tolles Ultrabook von Dell
  1. Die Woche im Video Die Selbstzerstörungssequenz ist aktiviert
  2. XPS 13 Convertible im Hands on Dells 2-in-1 ist kompakter und kaum langsamer

Mechanische Tastatur Poker 3 im Test: "Kauf dir endlich Dämpfungsringe!"
Mechanische Tastatur Poker 3 im Test
"Kauf dir endlich Dämpfungsringe!"
  1. Patentantrag Apple denkt über Tastatur mit Siri-, Emoji- und Teilen-Taste nach
  2. MX Board Silent im Praxistest Der viel zu teure Feldversuch von Cherry
  3. Kanex Faltbare Bluetooth-Tastatur für mehrere Geräte gleichzeitig

Hyperloop-Challenge: Der Kompressor macht den Unterschied
Hyperloop-Challenge
Der Kompressor macht den Unterschied
  1. Arrivo Die neuen alten Hyperlooper
  2. SpaceX Die Bayern hyperloopen am schnellsten und weitesten
  3. Hyperloop HTT baut ein Forschungszentrum in Toulouse

  1. Re: Gehashte Passwörter generell unsicher

    Schrödinger's... | 17:07

  2. Re: Kann man die Konsole nicht in beide...

    incoherent | 17:07

  3. Re: für Git wenig relevant

    Proctrap | 17:07

  4. Re: SCiO

    Eheran | 17:07

  5. Re: Nur kleinwaagen?

    wasabi | 17:05


  1. 17:26

  2. 16:41

  3. 16:28

  4. 15:45

  5. 15:26

  6. 15:13

  7. 15:04

  8. 14:19


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel