Fr, 14. September 2012, 08:58Ein in der kommenden PHP-Version 5.5 enthaltenes neues API soll Entwickler veranlassen, Passwörter mit Bcrypt zu hashen und nicht wie bisher mit MD5 oder SHA1.
In einen Blog-Eintrag weist das PHP-Team auf das neue Crypt-API in PHP 5.5 hin, das Entwickler für ein sicheres Passwort-Hashing verwenden können. Dass das neue Secure Password Hashing API das bislang verwendete API ersetzen wird, ist bereits beschlossen, denn mit dem alten Verfahren sei es zu kompliziert gewesen, ein sicheres Passwort-Hashing mit Bcrypt zu realisieren. Das neue API lässt sich auch mit aktuellen PHP-Versionen nutzen; der Code steht bereits auf Github zum Herunterladen zur Verfügung.
Im neuen API ist Bcrypt Standard für das Passwort-Hashing. Zwar lässt sich auch mit dem alten API ein auf Bcrpyt basierendes Passwort-Hashing realisieren, dies ist aber aufwendig, sodass viele Entwickler in der Vergangenheit vorrangig aus Bequemlichkeit auf die unsicheren Hashing-Verfahren SHA1 und MD5 zurückgriffen. Das lässt sich an der sich in letzter Zeit häufenden Anzahl erfolgreich verlaufener Angriffe auf PHP-Anwendungen ablesen.
In PHP 5.5 werden Passwörter in Zukunft ausschließlich mit $hash = password_hash($password, PASSWORD_DEFAULT); gehasht, wobei Bcrypt laut oben genannten Blog-Eintrag mit dem Faktor 10 verwendet und automatisch mit einer zufällig gewählten Zeichenfolge (Salt) versehen wird. Das Verifizieren der Passwörter lässt sich ist mit der Konstruktion if (password_verify($password, $hash)) bewerkstelligen, wobei PHP 5.5 die genannten Standardeinstellungen für den Algorithmus (Bcrypt) und die zufällige Zeichenfolge (Salt) automatisch berücksichtigt.
Quelle: PHP 5.5 soll Passwort-Sicherheit verbessern - Pro-Linux