ฉันกำลังสร้างแบบฟอร์มลงทะเบียนและลงชื่อเข้าใช้อย่างง่ายโดยใช้ PHP ในการลงทะเบียน ฉันสร้างแฮชโดยใช้ฟังก์ชัน password_hash() แล้วเก็บไว้ในฐานข้อมูล ตอนที่ลงชื่อเข้าใช้ เริ่มแรกสิ่งที่ฉันทำคือสร้างแฮชใหม่โดยใช้ฟังก์ชัน password_hash() อีกครั้ง แล้วเปรียบเทียบกับแฮชรหัสผ่านที่เก็บไว้
สิ่งนี้ล้มเหลวตลอดเวลา เพราะอย่างที่ฉันเข้าใจในตอนนี้ เกลือใหม่จะถูกใช้ทุกครั้งที่คุณสร้างรหัสผ่านแฮชโดยใช้ฟังก์ชัน password_hash() หลังจากการค้นคว้า ฉันรู้ว่าควรใช้ฟังก์ชัน PHP password_verify(<plain_text_password>,<password_fetched_from_DB>)
สิ่งที่ฉันไม่เข้าใจคือทำไมฟังก์ชัน password_verify ถึงรู้ค่าเกลือที่ใช้ก่อนหน้านี้ตอนสมัคร หากไม่รู้จักเกลือ ดังนั้น password_verify ก็ควรล้มเหลวเช่นเดียวกับฟังก์ชัน password_hash เมื่อใช้สำหรับการเปรียบเทียบ
ฉันอ่านเกี่ยวกับเรื่องนี้เพิ่มเติมและสิ่งที่ฉันได้รู้ก็คือ เมื่อใช้ฟังก์ชัน password_hash() เพื่อสร้างแฮช มันจะเก็บค่าเกลือไว้ในแฮชด้วย? ตัวอย่างเช่น หากแฮชที่สร้างขึ้นเป็น abcde12345 ค่าเกลือจะเป็น 12345 ได้หรือไม่
หากเป็นจริง การดูที่แฮชเราสามารถบอกได้ว่าส่วน "นี้" ของแฮชคือค่าเกลือจริงหรือไม่ ค่าเกลืออยู่ที่ตำแหน่งใดตำแหน่งหนึ่งในแฮชเสมอหรือไม่ ฉันจะขอบคุณถ้ามีคนสามารถแบ่งปันตัวอย่าง
ผลลัพธ์ของฟังก์ชันการแฮชรหัสผ่านปกติใดๆ ประกอบด้วยการตั้งค่าความยาก เกลือ และการย่อยของรหัสผ่าน ซึ่งเข้ารหัสเป็นบางรูปแบบที่ฟังก์ชันการแฮชรหัสผ่านระบุ ฟังก์ชันการตรวจสอบต้องการรูปแบบเดียวกัน และเพียงแค่อ่านค่าเกลือออกมา เว็บไซต์นี้ มีคำอธิบายที่ดีสำหรับฟังก์ชันแฮช Argon2 ตัวอย่างเช่น สำหรับ argon2id (ตัวเลือกที่แนะนำสำหรับ PHP password_hash) ที่มีรหัสผ่าน 12345, salt qwertyuiop, 1 การวนซ้ำ, 1024 หน่วยความจำ, ความยาวแฮช 32, ความขนาน 1 เอาต์พุตคือ
$argon2id$v=19$m=1024,t=1,p=1$cXdlcnR5dWlvcA$dSEO3lF0tmBRi3/HZFZqPJGv38CW35xf9Fcs+8ti0yk
คุณสามารถดูพารามิเตอร์ต่างๆ โดยคั่นด้วย $ สัญญาณ
ใช่ เกลือและแฮชถูกจัดเก็บไว้ด้วยกัน และแฮชจะถูกจัดเก็บไว้ในที่ที่รู้จักเสมอ คุณเพียงแค่ต้องค้นหารูปแบบสำหรับอัลกอริทึมการแฮชเฉพาะที่ใช้ในการค้นหารายละเอียด
เกลือไม่ได้ตั้งใจให้เป็นความลับมากไปกว่าแฮช ดังนั้นจึงไม่มีปัญหาในการเก็บมันไว้ด้วยกันการใช้เกลือไม่ได้มีวัตถุประสงค์เพื่อทำให้การโจมตีด้วยกำลังเดรัจฉานเป็นไปไม่ได้หากผู้โจมตีได้รับสำเนาของฐานข้อมูลรหัสผ่านของคุณ แต่สิ่งที่ทำคือป้องกันการใช้ตารางแฮชที่คำนวณไว้ล่วงหน้าหรือที่เรียกว่าตารางเรนโบว์ และป้องกัน แคร็กรหัสผ่านเดียวกันสำหรับผู้ใช้หลายคนพร้อมกัน
การโจมตีเหล่านั้นใช้ไม่ได้กับระบบรหัสผ่านแบบเค็ม เพราะทุกคนที่เลือก "p455w0rd" เป็นรหัสผ่านจะถูกแฮชด้วยเกลือที่แตกต่างกัน ดังนั้นผู้โจมตีจำเป็นต้องถอดรหัสแยกกันสำหรับแต่ละคน ยังคงใช้เวลาไม่นานกับรหัสผ่านที่แย่ขนาดนั้น แต่นานกว่าที่จะไม่ใส่เกลือ
คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา
