Frage zu Password_Hash (COST) + kleines Problem(Hilfe)

11/03/2015 22:38 Bently.#1

Guten Tag,

ich bin auf einem Therad gesto�en �ber Password_hash. Da sah ich das einer COST benutze ungef�hr so. Beispiel:

$pw = "mypassword";
$pepper = "mypepper";
define('COST',13);

$hash = password_hash($password.$pepper, PASSWORD_DEFAULT,array('cost'=>COST));

Jetzt ist meine Frage, was macht dieses COST?

2. Problem
Habe ein kurzes Script geschrieben um ein Datensatz einzuf�gen (halt nur zum Testzweck). Alles soweit in Ordnung jedoch, wenn ich dieses Zeichen einf�ge � steht da Datensatz erfolgreich abgesendet obwohl ich die k�rze des Password begrenzt habe auf 6 Zeichen. Falls ich irgendein Text eingebe das k�rzer als 6 Zeichen ist, steht da Password darf nicht k�rzer als 6 Zeichen stehen ( so soll es auch sein).

Spoiler

mfg

PS: Falls ihr Verbesserungsvorschl�ge findet, bitte dies schreiben. Bin dankbar �ber jede Hilfe!

11/03/2015 23:04 ComputerBaer#2

Ich kann beide Fragen nicht perfekt beantworten, aber ich glaube auf beide Fragen eine richtige Antwort zu haben.

Das "cost" legt grob gesagt fest, wie oft das Passwort gehasht werden soll. Wenn du also den maximal Wert (31) verwendest, dann wird es l�nger dauern als beim minimal Wert (4). Wie deutlich sich das bei einem Passwort zeigt m�sstest du testen, wenn jemand versucht das Passwort zu knacken wird er es aber definitiv zu sp�ren bekommen.
Und ich glaube dein Pfeffer ist unn�tig, die password_hash Funktion sollte das Passwort schon gut salzen.

Das ist jetzt geraten, k�nntest du aber leicht testen wenn die die l�nger auf mindestens 7 setzt. Ich vermute, dass PHP bei dem �-Zeichen die "lange Darstellung" (Mir will das richtige Wort nicht einfallen, vielleicht "Unicode Escape Sequence" ?) des Zeichens z�hlt, das w�ren n�mlich genau 6 Zeichen "\u00B5". Eventuell ist es auch ein anderer wirrer Zeichensalat, der durch eine falsche Kodierung entstanden ist. Die L�sung kann ich jetzt leider nicht liefern.

11/03/2015 23:31 Bently.#3

Diese Beschreibung oder Hilfe du die geschrieben hast reicht vollkommen aus und ich habe es auch jetzt verstanden und danke dir. Eine Frage h�tte ich da noch. Ich habe ja jetzt COST definiert das er 13 mal gehasht werden soll. Wird es automatisch gemacht mit meinem Code ?:

define('COST',13);

$hash = password_hash($password.$pepper, PASSWORD_DEFAULT,array('cost'=>COST));

11/04/2015 09:30 Devsome#4

Quote:

Originally Posted by Bently.

Diese Beschreibung oder Hilfe du die geschrieben hast reicht vollkommen aus und ich habe es auch jetzt verstanden und danke dir. Eine Frage h�tte ich da noch. Ich habe ja jetzt COST definiert das er 13 mal gehasht werden soll. Wird es automatisch gemacht mit meinem Code ?:

define('COST',13);

$hash = password_hash($password.$pepper, PASSWORD_DEFAULT,array('cost'=>COST));

Ja wird er.

Hier nochmal ein bsp. von der php.net Seite.

Code:

/**
 * Note that the salt here is randomly generated.
 * Never use a static salt or one that is not randomly generated.
 *
 * For the VAST majority of use-cases, let password_hash generate the salt randomly for you
 */
$options = [
    'cost' => 11,
    'salt' => mcrypt_create_iv(22, MCRYPT_DEV_URANDOM),
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $options)."\n";

Quelle: [Only registered and activated users can see links. Click Here To Register...]

"rasmuslerdorf" => Passwort
"PASSWORD_BCRYPT" => Die Art wie verschl�sselt wird (CRYPT_BLOWFISH-Algorithmus)
"$options" => Die obigen variablen cost & salt