Después de unos días leyendo acerca de las contraseñas de salado y hash, encontré un fragmento de código real que indica cómo hacerlo. Esto es lo que encontré:
$blowfish_salt = bin2hex(openssl_random_pseudo_bytes(22));
$hash = crypt($data, "$2a$12$".$blowfish_salt);
¿Es esta una buena manera de hacerlo?
password_hash , o si está utilizando una versión anterior, la biblioteca de compatibilidad
openssl_random_pseudo_bytes a veces sufre problemas de rendimiento. Considere mcrypt_create_iv (size, MCRYPT_DEV_URANDOM) en su lugar. la codificación de sal es complicada. Hex no usa el espacio de manera óptima, y Base64 normal usa caracteres no válidos.
$salt = substr(strtr(base64_encode($randomSalt), '+', '.'), 0, 22);
debería hacer el truco.
Combinando estos obtienes
$binarySalt = mcrypt_create_iv(16, MCRYPT_DEV_URANDOM);
$salt = substr(strtr(base64_encode($binarySalt), '+', '.'), 0, 22);
Compruebe Siete maneras de arruinar BCrypt en el blog de ircmaxell para leer más.
No hay nada de malo en tu código. Sin embargo, siempre prefiero usar bibliotecas ya hechas para el hashing de contraseñas siempre que sea posible. Para PHP, hay una excelente implementación disponible en PHPass .
require('PasswordHash.php');
$pwdHasher = new PasswordHash(8, FALSE);
$hash = $pwdHasher->HashPassword( $password );
La verificación también se hace por ti.
$checked = $pwdHasher->CheckPassword($password, $hash);
if ($checked) {
echo 'password correct';
} else {
echo 'wrong credentials';
}
Lo estás haciendo correctamente. La sal que está generando se considera aleatoria y lo suficientemente larga (tenga en cuenta que una sal debe ser única por contraseña). También está utilizando bcrypt, que se considera un algoritmo de hashing de contraseña seguro.