Abo
  • Services:
Anzeige
PHP 5.5 erhält ein neues API zu Passwort-Hashing.
PHP 5.5 erhält ein neues API zu Passwort-Hashing. (Bild: PHP-Projekt)

PHP 5.5: Sichere Passwörter mit neuem Crypt-API

PHP 5.5 erhält ein neues API zu Passwort-Hashing.
PHP 5.5 erhält ein neues API zu Passwort-Hashing. (Bild: PHP-Projekt)

Ein neues API soll in PHP 5.5 für sichere Passwörter sorgen. Entwickler sollen damit animiert werden, Passwörter mit Bcrypt zu hashen statt wie bisher meist mit Md5 oder Sha1.

Mit einem neuen Crypt-API sollen Entwickler sicheres Passwort-Hashing nutzen können. Das Secure Password Hashing API wurde bereits für die bevorstehende Version 5.5 von PHP akzeptiert. Das bislang verwendete API sei zu kompliziert gewesen, um ein sicheres Passwort-Hashing mit Bcrypt umzusetzen, schreibt das PHP-Team.

Anzeige

Standard in dem neuen API ist Passwort-Hashing mit Bcrypt. Bislang griffen viele Entwickler noch auf die beiden unsicheren Hashing-Verfahren Sha1 und Md5 aus Bequemlichkeit zurück. Das zeigen auch die zahlreichen erfolgreichen Angriffe in der letzten Zeit. Mit dem einfacher gehaltenen neuen API soll das Hashing nicht nur simpler, sondern auch konfigurierbarer werden.

Standardmäßig Bcrypt mit Faktor 10

Standardmäßig sollen Passwörter künftig mit der Zeile $hash = password_hash($password, PASSWORD_DEFAULT); gehasht werden. Dabei wird Bcrypt mit dem Faktor 10 verwendet und automatisch mit einer zufällig gewählten Zeichenfolge (Salt) versehen. Mit $hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]); kann der Faktor erhöht werden, was allerdings mehr Rechenleistung kostet.

Die Verifizierung der Passwörter ist mit der If-Zeile if (password_verify($password, $hash)) erledigt. Die Standardeinstellungen für Salt und Algorithmus (Bcrypt) werden dabei automatisch berücksichtigt.

Anpassungsfähig

Auch die spätere Erhöhung des Faktors kann PHP automatisch erledigen, etwa mit der Zeile if (password_needs_rehash($hash, PASSWORD_DEFAULT)) {$hash = password_hash($password, PASSWORD_DEFAULT);}.

Das neue API kann bereits in aktuellen Versionen von PHP genutzt werden. Der entsprechende Code steht auf einem Github-Server zum Download bereit. Bei einem Update auf PHP 5.5 wird der Code automatisch deaktiviert.


eye home zur Startseite
slashwalker 17. Sep 2012

Hä bitte? Wo verwendet das Script AND? erzeugt einen SHA-512 hash aus Passwort+Salt...

redmord 14. Sep 2012

Darüber hinaus muss der in der DB abgelegte Salt ja nur einem Teil des eigentlich...

BLUBBBEL 14. Sep 2012

Netter Fail: Für WEP kann man keine 100 Zeichen verwenden... Und wer heute noch MD5...

c3rl 13. Sep 2012

Hier im Forum ist echt viel Halbwissen unterwegs :-/ Damit wir das ein für alle mal...



Anzeige

Stellenmarkt
  1. Jetter AG, Ludwigsburg
  2. MAC Mode GmbH & Co. KGaA, Regensburg
  3. DAKOSY Datenkommunikationssystem AG, Hamburg
  4. ARI Fleet Germany GmbH, Eschborn, Stuttgart


Anzeige
Spiele-Angebote
  1. 6,99€
  2. (-8%) 45,99€
  3. 13,99€

Folgen Sie uns
       


  1. Augmented Reality

    Google stellt Project Tango ein

  2. Uber vs. Waymo

    Uber spionierte Konkurrenten aus

  3. Die Woche im Video

    Amerika, Amerika, BVG, Amerika, Security

  4. HTTPS

    Fritzbox bekommt Let's Encrypt-Support und verrät Hostnamen

  5. Antec P110 Silent

    Gedämmter Midi-Tower hat austauschbare Staubfilter

  6. Pilotprojekt am Südkreuz

    De Maizière plant breiten Einsatz von Gesichtserkennung

  7. Spielebranche

    WW 2 und Battlefront 2 gewinnen im November-Kaufrausch

  8. Bauern

    Deutlich über 80 Prozent wollen FTTH

  9. Linux

    Bolt bringt Thunderbolt-3-Security für Linux

  10. Streit mit Bundesnetzagentur

    Telekom droht mit Ende von kostenlosem Stream On



Haben wir etwas übersehen?

E-Mail an news@golem.de


Anzeige
King's Field 1 (1994): Die Saat für Dark Souls
King's Field 1 (1994)
Die Saat für Dark Souls
  1. Blade Runner (1997) Die unsterbliche, künstliche Erinnerung
  2. SNES Classic Mini im Vergleichstest Putzige Retro-Konsole mit suboptimaler Emulation

Amazon Video auf Apple TV im Hands on: Genau das fehlt auf dem Fire TV
Amazon Video auf Apple TV im Hands on
Genau das fehlt auf dem Fire TV
  1. Amazon Verkaufsbann für Apple TV bleibt bestehen
  2. Smartphone-Speicherkapazität Wie groß der Speicher eines iPhones sein sollte
  3. Mate 10 Pro im Test Starkes Smartphone mit noch unauffälliger KI

Twitch, Youtube Gaming und Mixer: Weltweites Aufmerksamkeitsdefizit
Twitch, Youtube Gaming und Mixer
Weltweites Aufmerksamkeitsdefizit
  1. Kiyo und Seiren X Razer bringt Ringlicht-Webcam für Streamer
  2. Roboter Megabots kündigt Video vom Roboterkampf an
  3. Free to Play World of Tanks bringt pro Nutzer und Monat 3,30 Dollar ein

  1. Re: Sich zu verstecken nutzt auch nichts

    johnripper | 17:41

  2. Re: Jetzt tut mal nicht so als hättet ihr nicht...

    bjoedden | 17:38

  3. Re: Die Anbieter dürften jubeln

    bjoedden | 17:22

  4. Re: "Die Wahrheit ist, Verbraucher lieben es...

    basil | 17:19

  5. Re: Natürlich ist man zufrieden

    bjoedden | 17:14


  1. 12:47

  2. 11:39

  3. 09:03

  4. 17:47

  5. 17:38

  6. 16:17

  7. 15:50

  8. 15:25


  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
    •  / 
    Zum Artikel