password_hash scheint eine Zufallsvariable zurück

Question

Ich bin versucht, ein Passwort Hash, bevor ich es in einer Benutzerdatenbank speichern, so dass ich führen Sie den Code:

$hashedPass = password_hash($pass, PASSWORD_DEFAULT); 

Dieser Code gibt mir einen Wert, $ 10 $ 2j sagen $ wAJr0Z1spRtOcK4cLhIkguUCKgwZKYrwm.nRhm6AtCfDH8ri7ylJu welche in der Datenbank gespeichert sind. Jetzt, wenn ich versuche anzumelden, die gleiche Zeichenfolge als Kennwort setzte in gibt einen ganz anderen $ hashedPass: sagen 2j $ 10 $ $ cayCQDSQ6pCICSozuIgBNu9uIopIoT5R6Y7aHXG6wx4v/oKx.Ipse

Ist das nur zufällig? Gibt es etwas, das ich stattdessen verwenden sollte?

Answer 1

Dies ist das erwartete Verhalten. password_hash generiert ein Salz, das zusammen mit dem Klartextkennwort verwendet wird, um einen Hash zu generieren. Das Salz wird zufällig generiert, so dass die Ausgabe jedes Mal anders ist, wenn Sie password_hash aufrufen.

Verwenden Sie password_verify, um Kennwörter zu überprüfen.

http://php.net/manual/en/function.password-verify.php

Alle notwendigen Informationen für password_verify ein Text-Kennwort zu überprüfen, ob in der Hash selbst enthalten. Die Anatomie eines Hash hängt von dem verwendeten Algorithmus, für den Passwort-Hash Sie bereitgestellt:

$2y$10$wAJr0Z1spRtOcK4cLhIkguUCKgwZKYrwm.nRhm6AtCfDH8ri7ylJu 

• 2j $ $ Dieses Präfix zeigt an, dass dies ein bcrypt Hash
• Dies ist die Kostenparameter
• wAJr0Z1spRtOcK4cLhIkgu die ersten 22 Zeichen ist das Salz
• UCKgwZKYrwm.nRhm6AtCfDH8 ri7ylJu Die übrigen 31 Zeichen ist, die Hash-

https://en.wikipedia.org/wiki/Bcrypt