Scripts » PHP exclusief MYSQL » Script
bcrypt + hmac password hash
06-01-2012 23:21
Bcrypt is een algoritme waarvan je de waarvan je door de cost parameter met een te verhogen te passen de tijd die nodig is om een hash te genereren kan verdubbelen.
Hoe langer er nodig is om een hash te gegerenen hoe langer een kwaadwillende nodig zal hebben om een wachtwoord te bruteforcen.
Een gebruiker die inlogt zal hier niet zo veel van merken omdat er maar een hash gegenereert wordt, een kwaadwillende zal hier wel heel veel van merken.
Iedere gebruiker krijgt een eigen salt zodat een kwaadwillende voor iedere gebruiker opnieuw moet beginnen en dus niet alle gebruikers tegelijk kan bruteforcen.
Ook wordt HMAC gebruikt met een key die niet in de database wordt opgeslagen en dit keer wel voor elke gebruiker (en dus de hele applicatie) het zelfde is om te voorkomen dat door middel van SQL-injection alle benodigde data achterhaald kan worden om te beginnen met een succesvolle bruteforce.
Hoe langer er nodig is om een hash te gegerenen hoe langer een kwaadwillende nodig zal hebben om een wachtwoord te bruteforcen.
Een gebruiker die inlogt zal hier niet zo veel van merken omdat er maar een hash gegenereert wordt, een kwaadwillende zal hier wel heel veel van merken.
Iedere gebruiker krijgt een eigen salt zodat een kwaadwillende voor iedere gebruiker opnieuw moet beginnen en dus niet alle gebruikers tegelijk kan bruteforcen.
Ook wordt HMAC gebruikt met een key die niet in de database wordt opgeslagen en dit keer wel voor elke gebruiker (en dus de hele applicatie) het zelfde is om te voorkomen dat door middel van SQL-injection alle benodigde data achterhaald kan worden om te beginnen met een succesvolle bruteforce.
Code | Selecteer Alles |
|---|
|
2012-01-07 12:39:03
2012-02-23 14:02:33