Kata Sandi Hash php

dapatkah seseorang menjelaskan apa gunanya hashing kata sandi itu,

Tujuan dari hashing kata sandi adalah untuk tujuan keamanan. Jika dimasukkan sebagai teks biasa, siapa pun yang masuk ke database Anda sekarang akan mengetahui semua kata sandi pengguna Anda. Masalah besar lainnya yang muncul dari hal ini adalah kemungkinan besar hal ini akan membahayakan pengguna di mana pun, tidak hanya di situs Anda, karena kebanyakan orang cenderung menggunakan kata sandi yang sama di mana pun.

bagaimana melakukannya dengan php, dan apa yang sebenarnya disimpan di database.

Untuk menggunakannya di PHP Anda cukup mengambil string, dalam contoh ini $password = 'password'; dan gunakan perintah sha1();. Ini akan mengembalikan sesuatu seperti d0be2dc421be4fcd0172e5afceea3970e2f3d940. Ini juga merupakan praktik yang baik untuk 'menggarami' kata sandi dengan skrip php Anda, sehingga skrip login skrip PHP diperlukan agar berhasil login. Contoh:

<?php
    $salt1 = '2348SDasdf!^*__';
    $salt2 = '_a35j@*#(lsdf_';
    $password = sha1($salt1.$_POST['password'].$salt2); // d0be2dc421be4fcd0172e5afceea3970e2f3d940
?>

Kemudian masukkan $password ke dalam database Anda. Saat masuk, Anda perlu memasukkan kata sandi yang diberikan melalui sha1 agar cocok dengan kata sandi di database. Anda memasukkannya ke dalam database sama seperti string lainnya, pastikan Anda memiliki panjang yang cukup untuk kolom yang Anda coba masukkan juga.

Katakanlah seseorang membobol sistem Anda (atau menemukan celah dalam kueri sql Anda) maka Anda tidak ingin mereka mengetahui semua kata sandi.

Jadi, Anda melakukan hash sebelum menyimpannya. Jadi Anda dapat memeriksa apakah kata sandinya oke, tetapi tidak menyimpulkan kata sandi dari hash.

Kecuali Anda menggunakan hash yang lemah. Jika Anda hanya ingin sha1($password) maka Anda akan menemukan memasukkan hash kata sandi yang sering digunakan ke Google memberikan kata sandi dalam waktu kurang dari 0,1 detik.* (tetapi jika tidak, Anda juga dapat menemukan tabel pelangi untuk semua jenis hash)

Jadi Anda ingin menambahkan "garam", artinya, Anda menghasilkan beberapa nilai sampah:

$salt = rand().rand().rand();

dan kemudian simpan

$hash = $salt."-".sha1($salt.$password);

saat memeriksa, Anda mengetahui garamnya dan Anda dapat memeriksa apakah kata sandinya benar, tetapi mengetahui hash dan garamnya membuat pemulihan kata sandi masih sulit. (kecuali Anda memiliki meja pelangi yang berisi garam, tentu saja)

* ini memerlukan penjelasan: Saya pernah mengambil tabel pengguna yang besar dan menemukan beberapa hash muncul beberapa kali. Saya mencari di Google yang paling sering terjadi dan terbalik menjadi computer

Hash adalah "fungsi satu arah". Anda memasukkan kata sandi dan mendapatkan keluaran yang kira-kira unik yang tidak dapat (secara komputasi layak) diubah kembali menjadi kata sandi asli. Tergantung pada hashnya, ini akan terlihat berbeda. Misalnya, dengan sha1 (http://php.net/manual/en/function.sha1.php) Anda akan selalu mendapatkan string sepanjang 20 byte.

Keuntungannya adalah kata sandi asli tidak pernah disimpan dalam teks biasa. Untuk memverifikasi kata sandi pengguna, Anda cukup menghitung hash pada kata sandi yang seharusnya dan membandingkannya dengan hash yang disimpan. Jika seseorang mendapatkan basis data kata sandi Anda, mereka masih belum memiliki kata sandi sebenarnya.

Belum ada yang menjelaskan alasannya, jadi izinkan saya: sebagian besar pengguna bodoh dan menggunakan kata sandi yang sama di mana saja. Anda tidak ingin seorang peretas membobol sistem Anda, ambil kata sandinya lalu pergi dan retas akun pengguna Anda di tempat lain.