Password_Hash 함수의 서로 다른 해시 값 이해

보안 인증 시스템을 개발할 때 개발자는 종종password_hash를 사용하여 다양한 비밀번호 해시를 얻는 혼란에 직면합니다. 기능. 이 동작을 명확히 하고 올바른 비밀번호 확인을 보장하기 위해 이 기능의 메커니즘을 분석해 보겠습니다.

비밀번호 솔팅: 의도적인 기능

password_hash 기능은 의도적으로 고유한 솔트를 생성합니다. 각 비밀번호에 대해 해시됩니다. 솔팅은 공격자가 미리 계산된 레인보우 테이블을 악용하거나 일반적인 해시 값을 추측하는 것을 방지하도록 설계된 중요한 보안 조치입니다. 다양한 솔트를 사용하면 각 비밀번호가 고유하게 암호화되므로 시스템을 손상시키는 데 필요한 노력이 크게 늘어납니다.

비용 매개변수: 보안 조정

비밀번호 해싱의 보안을 강화하려면 , 비밀번호 해시 함수를 사용하면 개발자가 비용 매개변수를 지정할 수 있습니다. 이 매개변수는 해싱 알고리즘에 사용되는 반복 횟수를 제어하므로 해시를 깨는 데 필요한 계산 노력이 늘어납니다. 기본적으로 비용 매개변수는 보안과 효율성 간의 합리적인 균형을 나타내는 10으로 설정됩니다. 보안을 더욱 강화하기 위해 개발자는 다음 코드에 표시된 대로 이 값을 늘릴 수 있습니다.

$password = password_hash($password4, PASSWORD_DEFAULT, ['cost' => 15]);

확인: 해시 비교

비밀번호를 확인할 때 저장된 해시와 비교하기 전에 사용자가 제공한 암호화되지 않은 비밀번호가 올바르게 해시되었는지 확인하는 것이 중요합니다. 이는 비밀번호 확인 기능을 사용하여 수행됩니다:

if(password_verify($password4, $dbpassword))

이 코드 조각에서 $password4는 사용자가 입력한 비밀번호(해시되지 않음)를 나타냅니다. $dbpassword는 데이터베이스에 저장된 해시된 비밀번호를 나타냅니다. 해시된 두 값을 비교하여 비밀번호가 일치하면 true를 반환하고 인증을 진행할 수 있습니다.