Compreendendo os diferentes valores de hash na função Password_Hash

No desenvolvimento de sistemas de autenticação seguros, os desenvolvedores muitas vezes se deparam com a confusão de obter hashes de senha variados usando o password_hash função. Para esclarecer esse comportamento e garantir a verificação correta da senha, vamos analisar a mecânica por trás dessa função.

Password Salting: um recurso deliberado

A função password_hash gera intencionalmente um salt exclusivo para cada senha que ele faz hash. Salting é uma medida de segurança crucial projetada para evitar que invasores explorem tabelas Rainbow pré-computadas ou adivinhem valores de hash comuns. Com sais variados, cada senha se torna criptografada de forma exclusiva, aumentando significativamente o esforço necessário para comprometer o sistema.

Parâmetro de custo: personalização de segurança

Para aumentar a segurança do hash de senha , a função password_hash permite que os desenvolvedores especifiquem um parâmetro de custo. Este parâmetro controla o número de iterações utilizadas no algoritmo de hash, aumentando assim o esforço computacional necessário para quebrar o hash. Por padrão, o parâmetro de custo é definido como 10, o que representa um equilíbrio razoável entre segurança e eficiência. Para aumentar ainda mais a segurança, os desenvolvedores podem aumentar esse valor, conforme demonstrado no código a seguir:

$password = password_hash($password4, PASSWORD_DEFAULT, ['cost' => 15]);

Verificação: Comparando Hashes

Ao verificar senhas, é essencial garantir que a senha não criptografada fornecida pelo usuário é hash corretamente antes de ser comparado ao hash armazenado. Isso é feito usando a função password_verify:

if(password_verify($password4, $dbpassword))

Neste trecho de código, $password4 representa a senha inserida pelo usuário (que não tem hash), e $dbpassword representa a senha com hash armazenada em seu banco de dados. Ao comparar os dois valores de hash, a função retorna verdadeiro se as senhas corresponderem, permitindo que a autenticação continue.