Abo
  • Services:

PHP 5.5: Sichere Passwörter mit neuem Crypt-API

Ein neues API soll in PHP 5.5 für sichere Passwörter sorgen. Entwickler sollen damit animiert werden, Passwörter mit Bcrypt zu hashen statt wie bisher meist mit Md5 oder Sha1.

Artikel veröffentlicht am ,
PHP 5.5 erhält ein neues API zu Passwort-Hashing.
PHP 5.5 erhält ein neues API zu Passwort-Hashing. (Bild: PHP-Projekt)

Mit einem neuen Crypt-API sollen Entwickler sicheres Passwort-Hashing nutzen können. Das Secure Password Hashing API wurde bereits für die bevorstehende Version 5.5 von PHP akzeptiert. Das bislang verwendete API sei zu kompliziert gewesen, um ein sicheres Passwort-Hashing mit Bcrypt umzusetzen, schreibt das PHP-Team.

Stellenmarkt
  1. Bosch Gruppe, Stuttgart
  2. OSRAM GmbH, Traunreut

Standard in dem neuen API ist Passwort-Hashing mit Bcrypt. Bislang griffen viele Entwickler noch auf die beiden unsicheren Hashing-Verfahren Sha1 und Md5 aus Bequemlichkeit zurück. Das zeigen auch die zahlreichen erfolgreichen Angriffe in der letzten Zeit. Mit dem einfacher gehaltenen neuen API soll das Hashing nicht nur simpler, sondern auch konfigurierbarer werden.

Standardmäßig Bcrypt mit Faktor 10

Standardmäßig sollen Passwörter künftig mit der Zeile $hash = password_hash($password, PASSWORD_DEFAULT); gehasht werden. Dabei wird Bcrypt mit dem Faktor 10 verwendet und automatisch mit einer zufällig gewählten Zeichenfolge (Salt) versehen. Mit $hash = password_hash($password, PASSWORD_BCRYPT, ['cost' => 12]); kann der Faktor erhöht werden, was allerdings mehr Rechenleistung kostet.

Die Verifizierung der Passwörter ist mit der If-Zeile if (password_verify($password, $hash)) erledigt. Die Standardeinstellungen für Salt und Algorithmus (Bcrypt) werden dabei automatisch berücksichtigt.

Anpassungsfähig

Auch die spätere Erhöhung des Faktors kann PHP automatisch erledigen, etwa mit der Zeile if (password_needs_rehash($hash, PASSWORD_DEFAULT)) {$hash = password_hash($password, PASSWORD_DEFAULT);}.

Das neue API kann bereits in aktuellen Versionen von PHP genutzt werden. Der entsprechende Code steht auf einem Github-Server zum Download bereit. Bei einem Update auf PHP 5.5 wird der Code automatisch deaktiviert.



Anzeige
Spiele-Angebote
  1. 39,99€ (Release 14.11.)
  2. 46,99€
  3. 49,95€

slashwalker 17. Sep 2012

Hä bitte? Wo verwendet das Script AND? erzeugt einen SHA-512 hash aus Passwort+Salt...

redmord 14. Sep 2012

Darüber hinaus muss der in der DB abgelegte Salt ja nur einem Teil des eigentlich...

BLUBBBEL 14. Sep 2012

Netter Fail: Für WEP kann man keine 100 Zeichen verwenden... Und wer heute noch MD5...

c3rl 13. Sep 2012

Hier im Forum ist echt viel Halbwissen unterwegs :-/ Damit wir das ein für alle mal...


Folgen Sie uns
       


Radeon RX 590 - Test

Wir schauen uns AMDs Radeon RX 590 anhand der Nitro+ Special Edition von Sapphire genauer an: Die Grafikkarte nutzt den Polaris 30 genannten Chip, welcher im 12 nm statt im 14 nm Verfahren hergestellt wird.

Radeon RX 590 - Test Video aufrufen
E-Mail-Verschlüsselung: 90 Prozent des Enigmail-Codes sind von mir
E-Mail-Verschlüsselung
"90 Prozent des Enigmail-Codes sind von mir"

Der Entwickler des beliebten OpenPGP-Addons für Thunderbird, Patrick Brunschwig, hätte nichts gegen Unterstützung durch bezahlte Vollzeitentwickler. So könnte Enigmail vielleicht endlich fester Bestandteil von Thunderbird werden.
Ein Interview von Jan Weisensee

  1. SigSpoof Signaturen fälschen mit GnuPG
  2. Librem 5 Purism-Smartphone bekommt Smartcard für Verschlüsselung

Haiku Beta 1 angesehen: BeOS in modernem Gewand
Haiku Beta 1 angesehen
BeOS in modernem Gewand

Seit nunmehr über 17 Jahren arbeitet ein kleines Entwickler-Team am quelloffenen Betriebssystem Haiku, das vollständig kompatibel sein soll mit dem um die Jahrtausendwende eingestellten BeOS. Seit einigen Wochen liegt endlich eine erste Betaversion vor, die BeOS ein wenig in die Moderne verhilft.
Von Tim Schürmann


    Amazons Echo Show (2018) im Test: Auf keinem anderen Echo-Gerät macht Alexa so viel Freude
    Amazons Echo Show (2018) im Test
    Auf keinem anderen Echo-Gerät macht Alexa so viel Freude

    Die zweite Generation des Echo Show ist da. Amazon hat viele Kritikpunkte am ersten Modell beseitigt. Der Neuling hat ein größeres Display als das Vorgängermodell und das sorgt für mehr Freude bei der Benutzung. Trotz vieler Verbesserungen ist nicht alles daran perfekt.
    Ein Test von Ingo Pakalski

    1. Update für Alexa-Display im Hands on Browser macht den Echo Show viel nützlicher
    2. Amazon Echo Show mit Browser, Skype und großem Display

      •  /