Witam,

Napisałem sobie klasę do hashowania haseł

[PHP] pobierz, plaintext 
class HashPassword{
	private $algo = '$2a$08$';
	private $seed = "ABCDEFGHIJKLMNOPQRSTUVWXYZ";
	private $salt_len = 22;
 
	private function makeSalt() {
		$salt = '';
		$seed = str_shuffle($this->seed);
		for ($i = 0; $i < $this->salt_len; $i++) {
			$salt .= substr($this->seed, rand(0, (strlen($seed)-1)), 1);
		}
		return $salt;
	}
 
	public function makeHash($password) {
		$pass = crypt($password, $this->algo.$this->makeSalt());
		$length = ((strlen($pass) - strlen($this->algo))*-1);
		$pass = substr($pass,$length);
		return base64_encode($pass);
	}
 
	public function verifyHash($password, $hash) {
		$hash = $this->algo.base64_decode($hash);
		return ($hash == crypt($password, $hash));
	}
}
[PHP] pobierz, plaintext 

(seed oraz długość soli są przykładowe )

Przykład wykorzystania:

[PHP] pobierz, plaintext 
$pass = 'asdf';
$hash_pass = new HashPassword();
 
$hash = $hash_pass->makeHash($pass);
echo '<br>';
echo $hash;
echo '<br>';
echo $hash_pass->verifyHash($pass, $hash)?'true':'false';
[PHP] pobierz, plaintext 

Jak uważacie czy hashowanie w ten sposób jest w miarę bezpieczne?

Pozdrawiam
Rav

To nie jest hashowanie.

Wydawało mi się, że crypt jest f-cją hasującą (a jest użyta w tej klasie). Jeżeli chodzi o base64 to można tego nie stosować.

Wszystko ok ale nie rozumiem po co :
http://php.net/manual/en/function.hash-hmac.php
załatwia wszystko

Tak ale przy tej metodzie musze trzymać sól razem z hasłem w bazie. Trochę mnie ten pomysł przeraża, chociaż wiem, że dużo osób tak robi.

Przejrzyj sobie: http://www.openwall.com/phpass/

Hmm... ta klasa też korzysta z crypt. Więc wnioskuję po tym, że moja klasa jest też w miarę bezpieczna

Dziękuję

Wybacz nie zauważyłem, skupiłem się na base64