bcrypt и случайно сгенерированные соли

Background

bcrypt — это алгоритм хеширования паролей, который использует соль для повышения безопасности. Соление включает в себя включение случайных данных в хеш пароля, гарантируя, что даже идентичные пароли будут давать разные хешированные результаты.

Генерация и хеширование соли

Предоставленный класс PHP включает функцию genSalt(), которая генерирует случайную соль с использованием функции openssl_random_pseudo_bytes(). Эта соль затем используется как часть процесса хеширования bcrypt в функции genHash().

Функция genHash() принимает пароль и объединяет его со случайно сгенерированной солью. Полученный хэш представляет собой смесь исходного пароля, соли и префикса, специфичного для алгоритма ($2y$), который указывает алгоритм bcrypt и его параметры (например, коэффициент рабочей нагрузки).

Проверка пароля

Для проверки пароля предусмотренная функция проверки() сравнивает введенный пароль с сохраненным хешем. Он делает это путем объединения предоставленного пароля с сохраненным хешем и использования функции crypt() для его повторного хеширования.

Понимание логики сравнения хешей

Ключ к пониманию того, почему соль генерируется случайно не влияет на проверку пароля — необходимо проверить формат сохраненного хэша. Хэш состоит из двух основных частей:

1. Префикс алгоритма ($2y$), коэффициент рабочей нагрузки (например, 10) и соль (например, abcdefg...)
2. Хешированный пароль

Когда функцияverify() хеширует предоставленный пароль с сохраненным хешем, в качестве входных данных она использует только солевую часть. Это гарантирует, что соль будет включена в процесс проверки.

Вывод

Подводя итог, хотя bcrypt генерирует случайные соли для обеспечения безопасности пароля, процесс проверки пароля учитывает только часть соли. сохраненный хеш. Это позволяет сверить предоставленный пароль с сохраненным хешем, даже если соль генерируется случайным образом.