Stockage de mot de passe sécurisé: sha1 vs md5 vs sha256 vs bcrypt

Lors de la conception d'un système de connexion sécurisé, le choix de l'algorithme de hachage est crucial. Les options traditionnelles, SHA1, MD5 et SHA256, connaissent des vulnérabilités. Bien que le sel puisse atténuer ces risques, il est important de considérer les alternatives plus robustes.

bcrypt: le choix préféré

la réponse à "quel algorithme de hachage à utiliser pour un PHP se connecter?" est clair: bcrypt. Contrairement à Sha1, MD5 et SHA256, Bcrypt est conçu pour la sécurité, pas la vitesse. Il utilise un processus de hachage plus lent avec des tours et des sels complexes pour dissuader les attaques de force brute.

php 5.5 implémentation

Les versions modernes de Php (5.5) fournissent un support natif Bcrypt natif via la fonction mot de passe_hash ():

// Creating a hash
$hash = password_hash($password, PASSWORD_DEFAULT, ['cost' => 12]);

// Verifying the password against the stored hash  
if (password_verify($password, $hash)) {
    // Success! Log the user in here.
}

Versions PHP plus anciennes

Pour les anciennes versions de Php, vous pouvez utiliser la bibliothèque Password_Compat pour implémenter BCrypt:

// Creating a hash
$hash = password_compat_hash($password, PASSWORD_BCRYPT);

// Verifying the password against the stored hash  
if (password_compat_verify($password, $hash)) {
    // Success! Log the user in here.
}

met en garde

bcrypt a deux mises en garde importantes:

• tronque silencieusement des mots de passe plus de 72 caractères.
• Il tronque après tous les caractères NUL.

Au lieu de créer votre propre solution de contournement, utilisez une bibliothèque sécurisée telle que Zend \ Crypt ou PasswordLock. ]