Wie man BCRYPT mit password_hash() in PHP verwendet

Question

Jetzt mit Passwort_hash() in PHP> = 5.6, müssen wir auch BCRYPT verwenden, um das Objekt/Passwort sicherer zu machen?

Wenn ja, könnte jemand bitte beschreiben, wie man ein Passwort in der Registrierungsseite mit password_hash() AND BCRYPT speichert, und dann, wie Informationen zum Login-Benutzer auf der Login-Seite abgerufen werden?

Entschuldigung, wenn jemand durch das begrenzte Wissen eines Anfängers beleidigt wird. Ich bin verwirrt und habe die Antwort nicht ganz verstanden.

UPDATE:

ich jetzt auf die Idee kam, gibt es keine Notwendigkeit, Benutzer bcrypt/Salz/Pfeffer mit password_hash() jetzt als PHP während der Laufzeit seine eigene zufällige Salz erzeugt. Der einfachste Schritt besteht darin, das Passwort einfach mit password_hash ($ passwordVariable) zu hashen und zur Überprüfung einfach password_verify ($ passwordEntered, $ hashedPassword_fromDB) zu verwenden. Danke an alle.

Answer 1

Die ganze Idee hinter password_hash() ist, immer einen aktuellen Hash-Algorithmus zu verwenden. Derzeit ist der Standard Algo. verwendet wird genau BCRYPT. Sie können sogar noch mehr Optionen übergeben, um Ihr Passwort noch sicherer zu machen (zum Beispiel Ihren eigenen Salz- oder Arbeitsfaktor). Und was noch besser ist, ist, dass php bietet auch die password_needs_rehash() Funktion, die Sie später überprüfen können, wenn ein bestimmter Hash mit der aktuellen Algo erstellt wurde, und wenn nicht, können Sie nur das Passwort erneut. überprüfen Sie die offizielle PHP-Dokumentationsseite für pasword_hash out(): http://php.net/manual/en/function.password-hash.php

Answer 2

Es besteht keine Notwendigkeit zu Benutzer bcrypt/Salz/Pfeffer mit password_hash() jetzt als PHP sein eigenes zufälliges Salz während der Laufzeit erzeugt.

Der einfachste Schritt ist einfach Hash-Passwort password_hash ($ passwordVariable) mit und für die Überprüfung verwenden Sie einfach password_verify ($ passwordEntered, $ hashedPassword_fromDB)