Hashowanie haseł w PHP8

Question

Wie ktoś może czy w PHP8 coś się zmieniło w hashowaniu? Mój kod za każdym razem daje mi inny wynik hashowania hasła o tej samej treści 

komenda hashująca

$haslo_hash=PASSWORD_HASH($haslo1, PASSWORD_DEFAULT);

a tutaj cały kod sprawdzający wynik:

<?php 


	$haslo1=$_POST['haslo1'];
	
	$haslo_hash=PASSWORD_HASH($haslo1, PASSWORD_DEFAULT);

?>

<!DOCTYPE html>
<html lang="pl">

<head>
<meta charset="UTF-8" />
</head>

<body style="background-color:grey";>

<form method="post">


Podaj hasło:<br>
<input type="password" name="haslo1"/><br><br>

<input type="submit" value="Sprawdź hash"

</form>

<?php

echo $haslo_hash

?>

</body>
</html>

 

Answer 1

To jest jak najbardziej poprawne zachowanie. Hasło jest za każdym razem hashowane z inną, unikalną solą. A że sól za każdym razem jest inna, wynikowy hash również się różni. Dzięki temu unikać można ataków przy pomocy tzw. tęczowych tablic, które zawierają hashe dla konkretnych fraz. Unikalna sól sprawia, że każde wpisane hasło jest unikalne, ergo – nie ma go w tablicy tęczowej.

Dlatego do weryfikacji poprawności hasła jest osobna funkcja, password_verify(). Na podstawie istniejącego hasha (który zawiera też informacje o soli) jest w stanie sprawdzić, czy podane hasło po dodaniu danej soli wygeneruje dany hash. 

Comments

Dziękuję za wyjaśnienie. Póki co łapię 90% :) Muszę się z tym przespać.

O ile dobrze zrozumiałem zasada działania jest taka:

1. Przy rejestracji, podane hasło jest hashowane co generuje ciąg znaków i do tego ciągu znaków jest dodawana sól -> taki ciąg znaków + sól trafia do bazy danych

2. Kiedy się logujemy, wpisane do formularza hasło jest hashowane co ponownie generuje ciąg znaków (taki sam jak przy rejestracji) + program dodaje do tego ciągu znaków sól też taką samą jaką dodał do hasła przy rejestracji?? Wydaje się, że musi tak być bo inaczej te hasła nie będą się zgadzać?

Pozdrawiam,