Хэш пароля PHP - PHPass

Я проверяю библиотеку PHPass, которая была рекомендована во многих ответах здесь, на SO. Но когда я смотрю на сгенерированные пароли, я вижу что-то вроде этого:

введите здесь описание изображения

Теперь некоторые из них всего 1234, некоторые немного сложнее. Некоторые из них действительно сложные (прописные, строчные, символы) и т. д. Но тем не менее я продолжаю видеть, что первые 7 символов всегда одинаковы, независимо от пароля. Разве это не облегчает угадывание? Я не очень разбираюсь в радужных или словарных атаках, но это выглядит странно. Это обычно? Это ошибка? Достаточно ли хорош фреймворк для использования в производственной среде?


php passwords phpass
person DS.    schedule 14.10.2013    source источник

Ответы (1)


arrow_upward
2
arrow_downward

Эти первые символы являются просто «описанием» метода хеширования. Благодаря этому вы сможете распознать и повторно использовать этот метод для проверки пароля. Даже на другом сервере или после смены метода хэширования новый пароль (старый все равно будет распознан).

Вы можете прочитать об этом и новом префиксе здесь http://www.php.net/security/crypt_blowfish.php

person Elon Than    schedule 14.10.2013
comment
Вы имеете в виду используемый алгоритм? Если это так, то зачем нужно 7 символов для обозначения именно этого? Разве один символ или что-то вроде $b$ не достигли бы этого? - person DS.; 14.10.2013
comment
@ДС. Может быть, этого будет достаточно, но не для случая иглобрюха, потому что ему нужен еще параметр cost, который находится между вторым и третьим $. - person Elon Than; 14.10.2013
comment
Спасибо за ссылку. Я гуглил ненужные вещи. Я также оставлю эту ссылку здесь для всех, кто интересуется этим cost упоминанием. php.net/manual/en/function.crypt.php - person DS.; 14.10.2013