আমি এখনই "পিএইচপি, পাসওয়ার্ড বিসক্রিপশন বিধিগুলিতে পাসওয়ার্ড সংরক্ষণের জন্য বিসিক্রিপটি ব্যবহার করুন" পরামর্শটি শুনি।

তবে কী bcrypt? পিএইচপি কোনও ফাইল-এনক্রিপশন ইউটিলিটি এবং উইকিপিডিয়া সম্পর্কিত কোনও কার্যকারিতা দেয় না, ওয়েব অনুসন্ধানগুলি বিভিন্ন ভাষায় ব্লোফিশের কয়েকটি বাস্তবায়ন প্রকাশ করে। এখন ব্লোফিশ পিএইচপি-র মাধ্যমেও পাওয়া যায় mcryptতবে পাসওয়ার্ডগুলি সংরক্ষণ করার ক্ষেত্রে কীভাবে এটি সহায়তা করে? ব্লোফিশ একটি সাধারণ উদ্দেশ্য সাইফার, এটি দুটি উপায়ে কাজ করে। যদি এটি এনক্রিপ্ট করা যায় তবে এটি ডিক্রিপ্ট করা যেতে পারে। পাসওয়ার্ডগুলির জন্য একমুখী হ্যাশিং ফাংশন প্রয়োজন।

এর ব্যাখ্যা কী?

bcryptএকটি হ্যাশিং অ্যালগরিদম যা হার্ডওয়্যার দিয়ে স্কেলযোগ্য (রাউন্ডের একটি কনফিগারযোগ্য সংখ্যার মাধ্যমে)। এর স্বচ্ছলতা এবং একাধিক রাউন্ড নিশ্চিত করে যে কোনও আক্রমণকারী আপনার পাসওয়ার্ড ক্র্যাক করতে সক্ষম হতে প্রচুর তহবিল এবং হার্ডওয়্যার স্থাপন করতে হবে। প্রতি-পাসওয়ার্ড লবণের (প্রয়োজনীয় bcryptলবণের) যোগ করুন এবং আপনি নিশ্চিত হয়ে উঠতে পারেন যে কোনও আক্রমণাত্মক পরিমাণে তহবিল বা হার্ডওয়ার ছাড়াই কার্যত অপরিবর্তনীয়।

bcryptহ্যাশ পাসওয়ার্ডগুলিতে একস ব্লোফিশ আলগোরিদিম ব্যবহার করে । যদিও এক্সব্লুফিশ এবং ব্লোফিশের এনক্রিপশন পর্বটি ঠিক একই, তবে এক্সব্লোফিশের মূল তফসিলের পর্যায়টি নিশ্চিত করে যে কোনও পরবর্তী অবস্থা লবণের এবং কী (ব্যবহারকারীর পাসওয়ার্ড) উভয়ের উপর নির্ভর করে এবং কোনও রাষ্ট্রই উভয়ের জ্ঞান ব্যতীত পূর্ববর্তী হতে পারে না। এই মূল পার্থক্যের কারণে, bcryptএটি একমুখী হ্যাশিং অ্যালগরিদম। আপনি ইতিমধ্যে লবণ, রাউন্ড এবং কী (পাসওয়ার্ড) না জেনে প্লেইন পাঠ্য পাসওয়ার্ডটি পুনরুদ্ধার করতে পারবেন না । [ উত্স ]

Bcrypt কীভাবে ব্যবহার করবেন:

PHP> = 5.5-DEV ব্যবহার করা V

পাসওয়ার্ড হ্যাশিং ফাংশনগুলি এখন সরাসরি পিএইচপি> = 5.5 এ নির্মিত হয়েছে । আপনি এখন যে কোনও পাসওয়ার্ডের password_hash()একটি bcryptহ্যাশ তৈরি করতে ব্যবহার করতে পারেন :

<?php
// Usage 1:
echo password_hash('rasmuslerdorf', PASSWORD_DEFAULT)."\n";
// $2y$10$xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
// For example:
// $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a

// Usage 2:
$options = [
  'cost' => 11
];
echo password_hash('rasmuslerdorf', PASSWORD_BCRYPT, $options)."\n";
// $2y$11$6DP.V0nO7YI3iSki4qog6OQI5eiO6Jnjsqg7vdnb.JgGIsxniOn4C

বিদ্যমান হ্যাশের বিপরীতে কোনও ব্যবহারকারী প্রদত্ত পাসওয়ার্ড যাচাই করতে, আপনি এটি ব্যবহার করতে পারেন password_verify():

<?php
// See the password_hash() example to see where this came from.
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';

if (password_verify('rasmuslerdorf', $hash)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}

PHP> = 5.3.7, <5.5-DEV (এছাড়াও রেডহ্যাট পিএইচপি> = 5.3.3) ব্যবহার করা হচ্ছে

মূলত সিতে লিখিত উপরের ফাংশনগুলির উত্স কোডের ভিত্তিতে তৈরি গিটহাবের একটি সামঞ্জস্য গ্রন্থাগার রয়েছে যা একই কার্যকারিতা সরবরাহ করে। সামঞ্জস্যতা গ্রন্থাগারটি ইনস্টল হয়ে গেলে, ব্যবহারের উপরের মত একই হয় (আপনি যদি এখনও 5.3.x শাখায় থাকেন তবে শর্টহ্যান্ড অ্যারে স্বীকৃতিটি বিয়োগ করে)।

পিএইচপি <5.3.7 ব্যবহার করা (প্রত্যাশিত)

আপনি crypt()ইনপুট স্ট্রিংয়ের বিক্রিপ্ট হ্যাশগুলি তৈরি করতে ফাংশনটি ব্যবহার করতে পারেন । এই শ্রেণিটি স্বয়ংক্রিয়ভাবে সল্ট তৈরি করতে পারে এবং কোনও ইনপুটের বিপরীতে বিদ্যমান হ্যাশগুলি যাচাই করতে পারে। আপনি যদি পিএইচপি-র কোনও সংস্করণ উচ্চতর বা 5.3.7 এর সমান ব্যবহার করেন তবে এটি বিল্ট-ইন ফাংশন বা কমপ্যাট লাইব্রেরি ব্যবহার করার পক্ষে বাঞ্ছনীয় । এই বিকল্পটি কেবল historicalতিহাসিক উদ্দেশ্যে সরবরাহ করা হয়।

class Bcrypt{
  private $rounds;

  public function __construct($rounds = 12) {
    if (CRYPT_BLOWFISH != 1) {
      throw new Exception("bcrypt not supported in this installation. See http://php.net/crypt");
    }

    $this->rounds = $rounds;
  }

  public function hash($input){
    $hash = crypt($input, $this->getSalt());

    if (strlen($hash) > 13)
      return $hash;

    return false;
  }

  public function verify($input, $existingHash){
    $hash = crypt($input, $existingHash);

    return $hash === $existingHash;
  }

  private function getSalt(){
    $salt = sprintf('$2a$%02d$', $this->rounds);

    $bytes = $this->getRandomBytes(16);

    $salt .= $this->encodeBytes($bytes);

    return $salt;
  }

  private $randomState;
  private function getRandomBytes($count){
    $bytes = '';

    if (function_exists('openssl_random_pseudo_bytes') &&
        (strtoupper(substr(PHP_OS, 0, 3)) !== 'WIN')) { // OpenSSL is slow on Windows
      $bytes = openssl_random_pseudo_bytes($count);
    }

    if ($bytes === '' && is_readable('/dev/urandom') &&
       ($hRand = @fopen('/dev/urandom', 'rb')) !== FALSE) {
      $bytes = fread($hRand, $count);
      fclose($hRand);
    }

    if (strlen($bytes) < $count) {
      $bytes = '';

      if ($this->randomState === null) {
        $this->randomState = microtime();
        if (function_exists('getmypid')) {
          $this->randomState .= getmypid();
        }
      }

      for ($i = 0; $i < $count; $i += 16) {
        $this->randomState = md5(microtime() . $this->randomState);

        if (PHP_VERSION >= '5') {
          $bytes .= md5($this->randomState, true);
        } else {
          $bytes .= pack('H*', md5($this->randomState));
        }
      }

      $bytes = substr($bytes, 0, $count);
    }

    return $bytes;
  }

  private function encodeBytes($input){
    // The following is code from the PHP Password Hashing Framework
    $itoa64 = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';

    $output = '';
    $i = 0;
    do {
      $c1 = ord($input[$i++]);
      $output .= $itoa64[$c1 >> 2];
      $c1 = ($c1 & 0x03) << 4;
      if ($i >= 16) {
        $output .= $itoa64[$c1];
        break;
      }

      $c2 = ord($input[$i++]);
      $c1 |= $c2 >> 4;
      $output .= $itoa64[$c1];
      $c1 = ($c2 & 0x0f) << 2;

      $c2 = ord($input[$i++]);
      $c1 |= $c2 >> 6;
      $output .= $itoa64[$c1];
      $output .= $itoa64[$c2 & 0x3f];
    } while (true);

    return $output;
  }
}

আপনি এই কোডটি এভাবে ব্যবহার করতে পারেন:

$bcrypt = new Bcrypt(15);

$hash = $bcrypt->hash('password');
$isGood = $bcrypt->verify('password', $hash);

বিকল্পভাবে, আপনি পোর্টেবল পিএইচপি হ্যাশিং ফ্রেমওয়ার্কও ব্যবহার করতে পারেন ।

সুতরাং, আপনি bcrypt ব্যবহার করতে চান? অসাধারণ! তবে, ক্রিপ্টোগ্রাফির অন্যান্য ক্ষেত্রগুলির মতো, আপনি নিজে এটি করা উচিত নয়। কীগুলি পরিচালনা করা, বা সল্ট সংরক্ষণ করা বা এলোমেলো সংখ্যা উত্পন্ন করার মতো কিছু সম্পর্কে আপনার যদি উদ্বিগ্ন হওয়ার দরকার হয় তবে আপনি এটি ভুল করছেন।

কারণটি সহজ: ব্র্যাক্রিপ্ট স্ক্রু আপ করা এত তুচ্ছ সহজ । প্রকৃতপক্ষে, আপনি যদি এই পৃষ্ঠার প্রায় প্রতিটি টুকরো কোডের দিকে লক্ষ্য করেন তবে আপনি লক্ষ্য করবেন যে এটি কমপক্ষে এই সাধারণ সমস্যাগুলির একটি লঙ্ঘন করছে।

এটি মুখোমুখি, ক্রিপ্টোগ্রাফি হার্ড।

বিশেষজ্ঞদের জন্য এটি ছেড়ে দিন। এই লাইব্রেরিগুলি রক্ষণাবেক্ষণ করা যাদের কাজ এটি তাদের জন্য ছেড়ে দিন। আপনার যদি সিদ্ধান্ত নেওয়ার দরকার হয় তবে আপনি এটি ভুল করছেন।

পরিবর্তে, কেবল একটি লাইব্রেরি ব্যবহার করুন। আপনার প্রয়োজনীয়তার উপর নির্ভর করে বেশ কয়েকটি বিদ্যমান।

লাইব্রেরি

আরও কয়েকটি সাধারণ এপিআইয়ের একটি ব্রেকডাউন এখানে।

পিএইচপি 5.5 এপিআই - (5.3.7+ এর জন্য উপলব্ধ)

পিএইচপি 5.5 থেকে শুরু করে হ্যাশিং পাসওয়ার্ডগুলির জন্য একটি নতুন এপিআই চালু করা হচ্ছে। 5.3.7+ এর জন্য (আমার দ্বারা) রক্ষণাবেক্ষণ করা একটি শিম সামঞ্জস্য গ্রন্থাগারও রয়েছে। এটি পিয়ার-পর্যালোচনা এবং প্রয়োগ বাস্তবায়নের সহজ হওয়ার সুবিধা রয়েছে ।

function register($username, $password) {
    $hash = password_hash($password, PASSWORD_BCRYPT);
    save($username, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    if (password_verify($password, $hash)) {
        //login
    } else {
        // failure
    }
}

সত্যিই, এটি অত্যন্ত সাধারণ হওয়ার লক্ষ্য।

সম্পদ:

• ডকুমেন্টেশন: পিএইচপি.নেটে
• সামঞ্জস্যতা গ্রন্থাগার: গিটহাবে on
• পিএইচপি এর আরএফসি: wiki.php.net এ

জেন্ড \ ক্রিপ্ট \ পাসওয়ার্ড \ বিক্রিপ্ট (5.3.2+)

এটি পিএইচপি 5.5 এর অনুরূপ অন্য একটি এপিআই এবং একই উদ্দেশ্যে কাজ করে।

function register($username, $password) {
    $bcrypt = new Zend\Crypt\Password\Bcrypt();
    $hash = $bcrypt->create($password);
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $bcrypt = new Zend\Crypt\Password\Bcrypt();
    if ($bcrypt->verify($password, $hash)) {
        //login
    } else {
        // failure
    }
}

সম্পদ:

• ডকুমেন্টেশন: জেন্ডে
• ব্লগ পোস্ট: জেন্ড ক্রিপ্ট সহ পাসওয়ার্ড হ্যাশিং

PasswordLib

পাসওয়ার্ড হ্যাশিংয়ের ক্ষেত্রে এটি কিছুটা ভিন্ন পদ্ধতি। কেবলমাত্র bcrypt সমর্থন করার পরিবর্তে, পাসওয়ার্ডলিব প্রচুর সংখ্যক হ্যাশিং অ্যালগরিদমকে সমর্থন করে। এটি মূলত প্রসঙ্গে যেখানে আপনার নিয়ন্ত্রণের বাইরে থাকতে পারে এমন উত্তরাধিকারসূত্র এবং পৃথকীকরণ ব্যবস্থার সাথে সামঞ্জস্যতা আপনার সমর্থন প্রয়োজন useful এটি বিপুল সংখ্যক হ্যাশিং অ্যালগরিদমকে সমর্থন করে। এবং 5.3.2+ সমর্থিত

function register($username, $password) {
    $lib = new PasswordLib\PasswordLib();
    $hash = $lib->createPasswordHash($password, '$2y$', array('cost' => 12));
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $lib = new PasswordLib\PasswordLib();
    if ($lib->verifyPasswordHash($password, $hash)) {
        //login
    } else {
        // failure
    }
}

তথ্যসূত্র:

• উত্স কোড / ডকুমেন্টেশন: গিটহাব

PHPASS

এটি এমন একটি স্তর যা বিক্রিপ্টকে সমর্থন করে, তবে আপনার যদি পিএইচপি> = 5.3.2 এ অ্যাক্সেস না থাকে তবে কার্যকরভাবে যথেষ্ট শক্তিশালী অ্যালগরিদম সমর্থন করে ... এটি আসলে পিএইচপি 3.0+ সমর্থন করে (যদিও বিসিক্রিপ্টের সাথে নয়)।

function register($username, $password) {
    $phpass = new PasswordHash(12, false);
    $hash = $phpass->HashPassword($password);
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $phpass = new PasswordHash(12, false);
    if ($phpass->CheckPassword($password, $hash)) {
        //login
    } else {
        // failure
    }
}

সম্পদ

• কোড: সিভিএসওয়েব
• প্রকল্পের সাইট: ওপেনওয়ালে
• <5.3.0 অ্যালগরিদম: স্ট্যাকওভারফ্লোতে একটি পর্যালোচনা

দ্রষ্টব্য: পিএইচপিএসএস বিকল্পগুলি ওপেনওয়ালে হোস্ট করা হয় না, সেগুলি বিভিন্ন প্রকল্প !!!

বিসিপ্রিপ্ট সম্পর্কে

যদি আপনি লক্ষ্য করেন তবে এই লাইব্রেরির প্রত্যেকটিই একটি একক স্ট্রিং প্রদান করে। বিসিক্রিপ অভ্যন্তরীণভাবে কীভাবে কাজ করে তার কারণেই। এবং সে সম্পর্কে উত্তরগুলির একটি টোন রয়েছে। এখানে আমি একটি নির্বাচন লিখেছি যে আমি এখানে অনুলিপি / পেস্ট করব না, তবে লিঙ্ক করুন:

• হ্যাশিং এবং এনক্রিপশন অ্যালগরিদমের মধ্যে মৌলিক পার্থক্য - পরিভাষা এবং সেগুলি সম্পর্কে কিছু প্রাথমিক তথ্য ব্যাখ্যা করা।
• রংধনু টেবিল ছাড়াই হ্যাশগুলি বিপরীত করা সম্পর্কে - মূলত আমাদের কেন প্রথমে bcrypt ব্যবহার করা উচিত ...
• বিসিআরপিট হ্যাশগুলি সংরক্ষণ করা - মূলত কেন হ্যাশের ফলাফলের সাথে লবণ এবং অ্যালগরিদম অন্তর্ভুক্ত।
• কীভাবে বিক্রিপট হ্যাশগুলির মূল্য আপডেট করা যায় - মূলত কীভাবে বেছে নিতে হয় এবং তারপরে bcrypt হ্যাশের মূল্য বজায় রাখা যায়।
• কীভাবে বিক্রিপ্ট সহ লম্বা পাসওয়ার্ড হ্যাশ করবেন - বিসিক্রিপ্টের 72 টি অক্ষরের পাসওয়ার্ড সীমা ব্যাখ্যা করে।
• বিসিক্রিপ কীভাবে সল্ট ব্যবহার করে
• সল্টিং এবং গোলমরিচ পাসওয়ার্ডের সর্বোত্তম অনুশীলন - মূলত, "মরিচ" ব্যবহার করবেন না
• পুরানো md5পাসওয়ার্ডগুলিকে বিক্রিপ্টে স্থানান্তরিত করা হচ্ছে

শেষ করি

বিভিন্ন পছন্দ আছে। যা আপনি চয়ন আপনার উপর নির্ভর করে। যাইহোক, আমি চাই অত্যন্ত সুপারিশ করছি যে আপনি আপনার জন্য এই পরিচালনা করার জন্য উপরে লাইব্রেরি ব্যবহার করুন।

আবার আপনি যদি crypt()সরাসরি ব্যবহার করেন তবে আপনি সম্ভবত কিছু ভুল করছেন। যদি আপনার কোড ব্যবহার করছে hash()(অথবা md5()বা sha1()) সরাসরি, আপনি প্রায় কিছু উল্টাপাল্টা করছেন।

কেবল একটি লাইব্রেরি ব্যবহার করুন ...

রেইনবো টেবিলের সাথে পর্যাপ্ত পরিমাণে আপনি প্রচুর তথ্য পাবেন : নিরাপদ পাসওয়ার্ড স্কিম বা পোর্টেবল পিএইচপি পাসওয়ার্ড হ্যাশিং ফ্রেমওয়ার্ক সম্পর্কে আপনার যা জানা দরকার ।

লক্ষ্যটি ধীরে ধীরে কিছু দিয়ে পাসওয়ার্ড হ্যাশ করা, যাতে আপনার পাসওয়ার্ডের ডাটাবেস পাওয়ার সাথে সাথে কেউ এটি জোর করার চেষ্টা করে মারা যায় (একটি পাসওয়ার্ড পরীক্ষা করতে 10 এমএস বিলম্ব করা আপনার পক্ষে কিছুই নয়, কেউ জোর করে চেষ্টা করার জন্য এটি অনেক কিছুই)। Bcrypt ধীর এবং এটি কত ধীর গতির তা বেছে নিতে প্যারামিটারের সাহায্যে ব্যবহার করা যেতে পারে।

আপনি পিএইচপি এর crypt()ফাংশন ব্যবহার করে এবং একটি উপযুক্ত ব্লোফিশ লবণের মধ্যে দিয়ে ব্রিসিপ্টের মাধ্যমে একটি ওয়ানওয়ে হ্যাশ তৈরি করতে পারেন । পুরো সমীকরণের মধ্যে সবচেয়ে গুরুত্বপূর্ণটি হ'ল ক) অ্যালগরিদম আপোস করা হয়নি এবং খ) আপনি প্রতিটি পাসওয়ার্ডকে যথাযথভাবে নুনে রাখুন । অ্যাপ্লিকেশন-বিস্তৃত লবণ ব্যবহার করবেন না; যা রেইনবো টেবিলের একক সেট থেকে আক্রমণ করার জন্য আপনার সম্পূর্ণ অ্যাপ্লিকেশনটি খুলবে।

পিএইচপি - ক্রিপ্ট ফাংশন

সম্পাদনা করুন: 2013.01.15 - আপনার সার্ভার যদি এটি সমর্থন করে তবে পরিবর্তে মার্টিনস্টোইকিলির সমাধানটি ব্যবহার করুন।

সবাই এটিকে আরও জটিল করে তুলতে চায়। ক্রিপ্ট () ফাংশন বেশিরভাগ কাজ করে।

function blowfishCrypt($password,$cost)
{
    $chars='./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
    $salt=sprintf('$2y$%02d$',$cost);
//For PHP < PHP 5.3.7 use this instead
//    $salt=sprintf('$2a$%02d$',$cost);
    //Create a 22 character salt -edit- 2013.01.15 - replaced rand with mt_rand
    mt_srand();
    for($i=0;$i<22;$i++) $salt.=$chars[mt_rand(0,63)];
    return crypt($password,$salt);
}

উদাহরণ:

$hash=blowfishCrypt('password',10); //This creates the hash
$hash=blowfishCrypt('password',12); //This creates a more secure hash
if(crypt('password',$hash)==$hash){ /*ok*/ } //This checks a password

আমি জানি এটি সুস্পষ্ট হওয়া উচিত, তবে দয়া করে আপনার পাসওয়ার্ড হিসাবে 'পাসওয়ার্ড' ব্যবহার করবেন না।

পিএইচপি-র 5.5 সংস্করণে বিসিক্রিপ, ফাংশন password_hash()এবং এর জন্য অন্তর্নির্মিত সমর্থন থাকবে password_verify()। প্রকৃতপক্ষে এগুলি কেবল ফাংশনটির চারপাশে মোড়ক crypt()এবং এটিকে সঠিকভাবে ব্যবহার করা সহজ করে তুলবে। এটি নিরাপদ এলোমেলো লবণের প্রজন্মের যত্ন নেয় এবং ভাল ডিফল্ট মান সরবরাহ করে।

এই ফাংশনগুলি ব্যবহার করার সবচেয়ে সহজ উপায় হ'ল:

$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

এই কোডটি বিসিক্রিপ্ট (অ্যালগরিদম 2y) এর সাথে পাসওয়ার্ডটি হ্যাশ করবে , ওএস র্যান্ডম উত্স থেকে একটি এলোমেলো লবণ উত্পন্ন করবে এবং ডিফল্ট ব্যয় প্যারামিটার ব্যবহার করবে (এই মুহুর্তে এটি 10) 10 দ্বিতীয় লাইনটি পরীক্ষা করে যদি ব্যবহারকারী পাসওয়ার্ড প্রবেশ করিয়ে দেয় তবে ইতিমধ্যে সঞ্চিত হ্যাশ-মানটির সাথে মেলে।

আপনি যদি খরচের প্যারামিটারটি পরিবর্তন করতে চান, আপনি এটির মতো করে ব্যয় প্যারামিটারটিকে 1 দ্বারা বাড়িয়ে, হ্যাশ মান গণনার জন্য প্রয়োজনীয় সময়কে দ্বিগুণ করতে পারেন:

$hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 11));

"cost"প্যারামিটারের বিপরীতে, প্যারামিটারটি বাদ দেওয়া ভাল "salt", কারণ ফাংশন ইতিমধ্যে একটি ক্রিপ্টোগ্রাফিকভাবে নিরাপদ লবণ তৈরি করতে সেরা চেষ্টা করে।

পিএইচপি সংস্করণ 5.3.7 এবং তার পরে, একই লেখক যে ফাংশনটি তৈরি করেছিলেন তার একটি সামঞ্জস্য প্যাক উপস্থিত রয়েছে password_hash()। পিএইচপি সংস্করণগুলির জন্য 5.3.7 এর আগে ইউনিকোড নিরাপদ বিসিক্রিপ অ্যালগরিদম crypt()সহ কোনও সমর্থন নেই 2y। এর পরিবর্তে যে কোনও এটির সাথে প্রতিস্থাপন করতে পারে 2aযা পূর্ববর্তী পিএইচপি সংস্করণগুলির জন্য সেরা বিকল্প।

বর্তমান চিন্তাভাবনা: হ্যাশগুলি দ্রুততম সম্ভব নয়, ধীরে ধীরে উপলব্ধ হওয়া উচিত। এটি রেইনবো টেবিলের আক্রমণগুলিকে দমন করে ।

সম্পর্কিতও, তবে সতর্কতা: আক্রমণকারীটির আপনার লগইন স্ক্রিনে কখনই সীমাহীন অ্যাক্সেস থাকা উচিত নয়। এটি রোধ করতে: একটি আইপি অ্যাড্রেস ট্র্যাকিং টেবিল সেট আপ করুন যা ইউআরআই সহ প্রতিটি হিট রেকর্ড করে। যদি লগইন করার 5 টিরও বেশি প্রচেষ্টা যদি কোনও পাঁচ মিনিটের সময় একই আইপি ঠিকানা থেকে আসে তবে ব্যাখ্যা দিয়ে ব্লক করুন। ব্যাংকগুলির মতো একটি গৌণ পদ্ধতির দ্বিগুণ পাসওয়ার্ড স্কিম থাকা approach দ্বিতীয় পাসে ব্যর্থতার জন্য একটি লক আউট স্থাপন করা সুরক্ষা বাড়ায়।

সংক্ষিপ্তসার: সময় গ্রহণকারী হ্যাশ ফাংশন ব্যবহার করে আক্রমণকারীকে ধীর করুন। এছাড়াও, আপনার লগইনে প্রচুর অ্যাক্সেস বন্ধ করে দিন এবং দ্বিতীয় পাসওয়ার্ড স্তর যুক্ত করুন।

এই পুরানো প্রশ্নের একটি আপডেট উত্তর এখানে!

5.5 যেহেতু পিএইচপিতে হ্যাশ পাসওয়ার্ডের সঠিক উপায়টি রয়েছে password_hash()এবং সেগুলি যাচাই করার সঠিক উপায়টি রয়েছে এবং এটি password_verify()পিএইচপি 8.0 এ এখনও সত্য। এই ফাংশনগুলি ডিফল্টরূপে bcrypt হ্যাশ ব্যবহার করে তবে অন্যান্য শক্তিশালী অ্যালগরিদম যুক্ত করা হয়েছে। password_hashপরামিতিগুলির মাধ্যমে আপনি কাজের ফ্যাক্টরটি (কার্যকরভাবে এনক্রিপশনটি কতটা "শক্তিশালী") পরিবর্তন করতে পারেন ।

তবে, যদিও এটি এখনও যথেষ্ট পরিমাণে শক্তিশালী, ব্র্যাক্রিপ্টকে আর অত্যাধুনিক হিসাবে বিবেচনা করা হয় না ; পাসওয়ার্ডের হ্যাশ অ্যালগরিদমগুলির একটি আরও ভাল সেট এসে পৌঁছেছে আরগন 2, আরগন 2i, আর্গন 2 ডি এবং আরগন 2 আইড ভেরিয়েন্টের সাথে। তাদের মধ্যে পার্থক্য ( এখানে বর্ণিত হিসাবে ):

আরগন 2 এর একটি প্রাথমিক বৈকল্প রয়েছে: আরগন 2 আইড এবং দুটি পরিপূরক ভেরিয়েন্ট: আরগন 2 ডি এবং আর্গন 2i। আরগন 2 ডি ডেটা নির্ভর নির্ভর মেমরির অ্যাক্সেস ব্যবহার করে যা এটিকে সাইড-চ্যানেল সময় আক্রমণগুলির কোনও হুমকিসহ ক্রিপ্টোকারেন্সি এবং প্রুফ-অফ ওয়ার্ক অ্যাপ্লিকেশনগুলির জন্য উপযুক্ত করে তোলে। আর্গোন 2i ডেটা-স্বতন্ত্র মেমরি অ্যাক্সেস ব্যবহার করে যা পাসওয়ার্ড হ্যাশিং এবং পাসওয়ার্ড-ভিত্তিক কী ডেরাইভেশনটির জন্য পছন্দসই। আরগন 2 আইডি স্মৃতিতে প্রথম পুনরাবৃত্তির প্রথমার্ধের জন্য আরগন 2 আই হিসাবে কাজ করে এবং বাকিগুলির জন্য আর্গন 2 ডি হিসাবে কাজ করে, এইভাবে সময়-মেমরি ট্রেডঅফসের কারণে পার্শ্ব-চ্যানেল আক্রমণ সুরক্ষা এবং ব্রুট-ফোর্সের ব্যয় সাশ্রয় উভয়ই সরবরাহ করে।

আরগোন 2i সমর্থন পিএইচপি 7.2 এ যুক্ত হয়েছিল এবং আপনি এটির জন্য অনুরোধ করেছেন:

$hash = password_hash('mypassword', PASSWORD_ARGON2I);

এবং পিএসপি 7.3 এ আরগন 2 এইড সমর্থন যুক্ত করা হয়েছিল:

$hash = password_hash('mypassword', PASSWORD_ARGON2ID);

পাসওয়ার্ড যাচাইয়ের জন্য কোনও পরিবর্তনের প্রয়োজন হয় না কারণ ফলাফলের হ্যাশ স্ট্রিংয়ে এটি তৈরি হওয়ার সময় কী কী অ্যালগরিদম, লবণ এবং কাজের উপাদান ব্যবহৃত হত সে সম্পর্কে তথ্য রয়েছে।

বেশ পৃথকভাবে (এবং কিছুটা অপ্রয়োজনীয়), লাইবসোডিয়াম (পিএইচপি .2.২ এ যুক্ত) এছাড়াও sodium_crypto_pwhash_str ()এবং sodium_crypto_pwhash_str_verify()ফাংশনগুলির মাধ্যমে আর্গন 2 হ্যাশিং সরবরাহ করে, যা পিএইচপি বিল্ট-ইনগুলির মতো একইভাবে কাজ করে। এগুলি ব্যবহারের একটি সম্ভাব্য কারণ হ'ল পিএইচপি কখনও কখনও লিবারগোন 2 ছাড়াই সংকলিত হতে পারে, যা আর্গন 2 অ্যালগরিদমগুলিকে পাসওয়ার্ড_হ্যাশ ফাংশনে অনুপলব্ধ করে তোলে; পিএইচপি .2.২ এবং উচ্চতর ক্ষেত্রে সর্বদা লিবসোডিয়াম সক্ষম থাকা উচিত তবে এটি তা নাও পারে - তবে কমপক্ষে দুটি উপায় আছে যা আপনি সেই অ্যালগরিদমে পেতে পারেন। আপনি কীভাবে লিবসোডিয়াম সহ একটি আর্গন 2 এইড হ্যাশ তৈরি করতে পারেন তা এখানে (এমনকি পিএইচপি 7.2 তেও রয়েছে, যার মধ্যে আরগন 2 আইড সমর্থন নেই):

$hash = sodium_crypto_pwhash_str(
    'mypassword',
    SODIUM_CRYPTO_PWHASH_OPSLIMIT_INTERACTIVE,
    SODIUM_CRYPTO_PWHASH_MEMLIMIT_INTERACTIVE
);

দ্রষ্টব্য যে এটি আপনাকে ম্যানুয়ালি একটি লবণ নির্দিষ্ট করতে দেয় না; এটি লাইবসোডিয়ামের নীতিশাস্ত্রের অংশ - ব্যবহারকারীদের এমন মানগুলিতে প্যারাম স্থাপনের অনুমতি দেবেন না যা সুরক্ষার সাথে আপোস করতে পারে - উদাহরণস্বরূপ পিএইচপি-র password_hashফাংশনে একটি খালি লবণের স্ট্রিংটি পাস করা থেকে বিরত করার মতো কিছুই নেই ; লাইবসোডিয়াম আপনাকে এত নির্বোধ কিছু করতে দেয় না!

জন্য OAuth এর 2 পাসওয়ার্ডগুলি:

$bcrypt = new \Zend\Crypt\Password\Bcrypt;
$bcrypt->create("youpasswordhere", 10)

যেহেতু আমরা সবাই জানি ডেটাবেসে পরিষ্কার পাঠ্যে পাসওয়ার্ড সংরক্ষণ করা নিরাপদ নয়। বিসিআরপিট হ্যাশিং পাসওয়ার্ড কৌশল। এটি পাসওয়ার্ড সুরক্ষা তৈরিতে ব্যবহৃত হয়। বিক্রিপ্টের একটি আশ্চর্যজনক কাজ হ'ল এটি হ্যাকারদের থেকে আমাদের বাঁচায় এটি হ্যাকিং আক্রমণ থেকে পাসওয়ার্ডকে সুরক্ষিত করতে ব্যবহৃত হয় কারণ পাসওয়ার্ডটি বিক্রিপ্টযুক্ত আকারে সংরক্ষণ করা হয়।

পাসওয়ার্ড_হ্যাশ () ফাংশনটি একটি নতুন পাসওয়ার্ড হ্যাশ তৈরি করতে ব্যবহৃত হয়। এটি একটি শক্তিশালী ও শক্তিশালী হ্যাশিং অ্যালগরিদম ব্যবহার করে password সুতরাং, ক্রিপ্ট () দ্বারা তৈরি পাসওয়ার্ড হ্যাশগুলি পাসওয়ার্ড_হ্যাশ () এবং তদ্বিপরীত দ্বারা ব্যবহৃত হতে পারে। ফাংশন পাসওয়ার্ড_ওয়ারিফাই () এবং পাসওয়ার্ড_হ্যাশ () ফাংশনটির চারপাশে কেবল র‌্যাপগুলি () এবং এটি এটিকে নির্ভুলভাবে ব্যবহার করা সহজ করে দেয়।

বাক্য গঠন

string password_hash($password , $algo , $options)

নিম্নলিখিত আলগোরিদিমগুলি বর্তমানে পাসওয়ার্ড_হ্যাশ () ফাংশন দ্বারা সমর্থিত:

পাসওয়ার্ড_ডিএফএলএফএস পাসওয়ার্ড_বিসিআরপিটি পাসওয়ার্ড_আরজোন ২ আই পাসওয়ার্ড_আরগন ২ আইডি

পরামিতি: এই ফাংশনটি উপরে বর্ণিত এবং নীচে বর্ণিত হিসাবে তিনটি পরামিতি গ্রহণ করে:

পাসওয়ার্ড : এটি ব্যবহারকারীর পাসওয়ার্ড সংরক্ষণ করে। অ্যালগো : এটি পাসওয়ার্ড অ্যালগরিদম ধ্রুবক যা অ্যালগরিদমকে চিহ্নিত করার সময় অবিচ্ছিন্নভাবে ব্যবহৃত হয় যা পাসওয়ার্ডের হ্যাশিংয়ের সময় ব্যবহৃত হয়। বিকল্পগুলি : এটি একটি সহযোগী অ্যারে, যা বিকল্পগুলি ধারণ করে। যদি এটি মুছে ফেলা হয় এবং এতে অন্তর্ভুক্ত না হয় তবে একটি এলোমেলো লবণ ব্যবহার করা হবে এবং একটি ডিফল্ট ব্যয়ের ব্যবহার ঘটবে। প্রত্যাবর্তনের মান : এটি সাফল্যের জন্য হ্যাশ পাসওয়ার্ড বা ব্যর্থতার ক্ষেত্রে মিথ্যা প্রদান করে।

উদাহরণ :

Input : echo password_hash("GFG@123", PASSWORD_DEFAULT); Output : $2y$10$.vGA19Jh8YrwSJFDodbfoHJIOFH)DfhuofGv3Fykk1a

নীচে প্রোগ্রামগুলি পিএইচপি-তে পাসওয়ার্ড_হ্যাশ () ফাংশন চিত্রিত করে:

<?php echo password_hash("GFG@123", PASSWORD_DEFAULT); ?>

আউটপুট

$2y$10$Z166W1fBdsLcXPVQVfPw/uRq1ueWMA6sLt9bmdUFz9AmOGLdM393G