[Hellsing]

Hallo!

Jag försöker lära mig PHPass och använder nu följande kod i ett hobbyprojekt för att hasha lösenorden:

Kod:

$formpassword = mysql_real_escape_string($_POST['formpassword']);

$hash = $hasher->HashPassword($formpassword);
$hasher = new PasswordHash(16, false);

Som jag förstår det är siffran "16" värdet på hur långt lösenordet skall sträckas? När jag använder denna kod för att lagra lösenorden blir de ca 30 tecken långa. Många tutorials jag har hittat på internet skriver att bCrypt lösenord (som PHPass använder) ligger runt 60-70 tecken.

Hur gör jag för att hashet skall bli längre/starkare? Är det bara öka på "16" till ett högre värde?

Jag undrar också över salt. Vad jag förstår så behöver man inte salta lösenordet innan man kör det genom PHPass eftersom detta ramverk gör detta automatiskt?

[Jake.Nu]

Jag tycker inte du skall köra lösenordet genom mysql_real_escape_string() innan du hashar det.
Det andra får annan svara på, jag använder inte PHPass själv.

[Hellsing]

Varför inte? Så länge man är konsekvent med mysql real escape för alla formulär som hanterar lösenord kan det ju inte ställa till med något. Att funktionen tillför slash borde ju dessutom göra det lagrade lösenordet ännu mer komplext?

[Clarence]

Citat:

Ursprungligen postat av Hellsing

Varför inte? Så länge man är konsekvent med mysql real escape för alla formulär som hanterar lösenord kan det ju inte ställa till med något. Att funktionen tillför slash borde ju dessutom göra det lagrade lösenordet ännu mer komplext?

Frågan är varför? Lösenordet ska aldrig sparas i någon tabell. Du har lika stor anledning att köra precis vilken funktion som helst på det som inte förändrar dess unikhet.

[HenrikAI]

Nu var det ett tag sedan jag använde PHPass så jag kan minnas fel, men kan längden ha med "portable_hashes" att göra?

"iteration_count" påverkar inte längden, men lösenordet blir "starkare" genom att det tar längre tid att generera hashen (och att brute force-knäcka lösenordet).