0
實現將用戶ID和MDG散列密碼發佈到我的服務器進行驗證的服務。驗證在我們控制之外哈希的密碼?
我們存儲使用PHP> 5.5中的password_hash()函數生成的散列密碼。
有什麼辦法來驗證MD5哈希和我們的哈希指向相同的密碼?
通常情況下,密碼將通過登錄表單提交給我們,我們將使用password_verify()進行驗證,但沒有明文密碼的情況下我有點遺憾。
A
回答
0
通常情況下,密碼將通過登錄表單提交給我們,我們會 與password_verify(),但沒有以純文本 密碼我在一個小的損失的核實。
只要您使用安全傳輸(SSL),這不會是一個問題。這是完成這個的標準方式。否則,您需要在客戶端實現password_hash()使用的哈希機制。這樣做不會使你的安全方案更好。它仍然易受replay attacks。
此外,你應該遠離MD5,因爲3210。
+0
我不認爲這就是問題所在。我認爲這更多的是將MD5轉換爲'password_hash()'方法。 ['見我的評論'](http://stackoverflow.com/questions/26023415/verify-password-that-is-hashed-outside-our-control#comment40760706_26023415)在OP的問題。我確定OP知道MD5漏洞,這就是爲什麼要轉到'password_hash()'。 – 2014-09-24 18:08:26
+0
他的問題部分表明他發佈了用戶證書的MD5哈希。這是非常不安全的,所以他應該被警告這個事實。我解決了他對以純文本形式發送證書的擔憂,並提出了一個更好的最佳實踐解決方案。 – Samuel 2014-09-24 18:10:34
+0
OP => *「我們存儲使用PHP> 5.5中的password_hash()函數生成的哈希密碼*」 - 重新讀取問題。起初我也有點困惑。 – 2014-09-24 18:11:17
0
你不能解密它。但是如果你可以改變生成密碼的機制,你可以參考這個post
相關問題
- 1. 在ruby中驗證OpenCart密碼哈希
- 2. 快速驗證md5哈希密碼
- 3. 如何驗證哈希密碼PHP類
- 4. 驗證一個哈希密碼
- 5. 無法驗證哈希密碼
- 6. UserCreationForm,哈希密碼和驗證()
- 7. 如何驗證哈希密碼
- 8. 如何驗證密碼哈希
- 9. 與哈希ASP.NET MVC密碼驗證
- 10. 如何驗證哈希密碼?
- 11. CakePHP - 驗證哈希密碼不同於安全::哈希()
- 12. 是否可以驗證密碼哈希與另一個密碼哈希?
- 13. 使用LDAP驗證之前的哈希密碼
- 14. MVC密碼格式:哈希,驗證用戶沒有鍵控用戶名/密碼
- 15. 哈希密碼機制
- 16. LDAP驗證代碼之外的密碼
- 17. vb.net,我如何驗證SHA1哈希密碼?
- 18. 哈希驗證
- 19. 哈希密碼
- 20. 如何在tomcat6中使用BASIC驗證的哈希密碼?
- 21. 密碼認證 - 不一致的哈希
- 22. 提交之前的哈希密碼
- 23. 如何在java中檢查LDAP密碼哈希方法(密碼驗證)?
- 24. PHP密碼哈希()
- 25. Windows哈希密碼
- 26. CakePHP哈希密碼
- 27. 驗證並創建哈希密碼錯誤,我可以用哈希密碼創建一個帳戶,但是,我無法驗證它?
- 28. 額外字符哈希密碼
- 29. 「BCrypt ::錯誤:: InvalidHash:無效的哈希」 嘗試驗證密碼
- 30. 你如何驗證用戶提交的密碼對bcrypt哈希?
除非你使用相同的哈希機制,種子等。 – 2014-09-24 17:56:55
傑伊的權利。您可以保留密碼行,同時讓用戶使用新的散列方法更新其密碼(*強制爲*)。新密碼欄可以標記爲「已驗證」。然後,使用WHERE子句爲'WHERE pw ='verified''設置登錄。 – 2014-09-24 17:57:50
查看此答案http://stackoverflow.com/a/18906896/您可以檢查MD5密碼並將其轉換爲新的'password_hash() '方法。您可以通過Google搜索「將md5轉換爲password_hash php」進一步研究。 – 2014-09-24 18:06:59