bcrypt 및 무작위로 생성된 솔트

배경

bcrypt는 보안을 강화하기 위해 솔팅을 활용하는 비밀번호 해싱 알고리즘입니다. 솔팅에는 무작위 데이터를 비밀번호 해시에 통합하여 동일한 비밀번호라도 다른 해시 결과가 생성되도록 보장하는 작업이 포함됩니다.

솔트 생성 및 해싱

제공된 PHP 클래스에는 다음을 생성하는 genSalt()라는 함수가 포함되어 있습니다. openssl_random_pseudo_bytes() 함수를 사용하는 임의의 솔트입니다. 이 솔트는 genHash() 함수에서 bcrypt 해싱 프로세스의 일부로 사용됩니다.

genHash() 함수는 비밀번호를 가져와서 무작위로 생성된 솔트와 결합합니다. 결과 해시는 원래 비밀번호, 솔트, bcrypt 알고리즘과 해당 매개변수(예: 작업 부하 요인)를 나타내는 알고리즘별 접두사($2y$)가 혼합된 것입니다.

비밀번호 확인

비밀번호를 확인하기 위해 제공된 verify() 함수는 입력된 비밀번호와 저장된 해시를 비교합니다. 제공된 비밀번호를 저장된 해시와 연결하고 crypt() 함수를 사용하여 다시 해시함으로써 이를 수행합니다.

해시 비교 논리 이해

솔트가 무작위로 생성된 이유를 이해하는 열쇠 비밀번호 확인에 영향을 미치지 않는 것은 저장된 해시의 형식을 검사하는 것입니다. 해시는 두 가지 주요 부분으로 구성됩니다.

1. 알고리즘 접두사($2y$), 작업 부하 계수(예: 10) 및 솔트(예: abcdefg...)
2. 해시된 비밀번호

verify() 함수가 제공된 비밀번호를 저장된 해시로 해시할 때 솔트 부분만 입력으로 사용합니다. 이렇게 하면 솔트가 확인 프로세스에 통합됩니다.

결론

요약하면 bcrypt는 비밀번호 보안을 보장하기 위해 무작위 솔트를 생성하지만 비밀번호 확인 프로세스에서는 솔트 부분만 고려합니다. 저장된 해시. 이를 통해 솔트가 무작위로 생성되더라도 제공된 비밀번호를 저장된 해시와 비교하여 확인할 수 있습니다.