Symfonyob娱乐下载 4.1新增功能:Argon2i配置
发表的
哈维尔Eguiluz
哈维尔Eguiluz
警告:这篇文章是关于一个不受支持的Symfony版本。ob娱乐下载有些信息可能已经过时了。阅读最新的Symfony文档ob娱乐下载.
在Syob娱乐下载mfony 3.4中,我们介绍了Argon2i密码散列器作为流行的替代品Bcrypt切肉机.对于Bcrypt,您可以使用成本参数,该参数定义了散列密码所需的CPU功率。
Argon2i算法比Bcrypt更可配置,这就是为什么在Symfony 4.1中,我们为Argon2i散列器引入了几个配置选项:ob娱乐下载
1 2 3 4 5 6 7 8 9 10
#配置/包/ security.yaml安全:#……编码器:应用实体\ \用户:算法:“argon2i”#可用于计算Argon2哈希的最大内存(KiB)memory_cost:1024# Argon2哈希算法运行的次数time_cost:3.密码哈希是一个快速移动的领域,需要不断更新。事实上,有一个官方的RFC替换当前的Argon2i算法在下一个稳定的PHP版本中使用更新的Argon2id变体。感谢Symfony,ob娱乐下载您可以跳过所有这些争论,并确保您的应用程序始终是安全的,并使用最新的安全最佳实践。
评论
@Martin这篇博文展示了一种改变密码哈希编码的方法:http://blog.michaelperrin.fr/2017/01/17/migrating-users-to-a-secure-hashing-algorithm-in-symfony/ob娱乐下载
这很简单,解释得很好。
这很简单,解释得很好。
@Martin @Pierre-Charles我还用一个我甚至不知道存在的PHP函数找到了一个很好的解决方案:
if (password_needs_rehash($password, PASSWORD_ARGON2I, ['cost' => 11])) {
$password = password_hash($password, PASSWORD_ARGON2I, ['cost' => 11]);
}
password_needs_rehash()函数可以确定加密的密码是否使用指定的算法加密。所以:
用户身份验证->如果成功,当您仍然拥有他们刚刚提交的登录密码时,检查数据库中存储的密码。如果需要更新密码,请使用新算法重新散列普通密码并存储新的散列
显然,这过于简化了,但允许轻松迁移MD5->BCRYPT->ARGON2I->ARGON2D->无论有人提出什么新的超级算法
if (password_needs_rehash($password, PASSWORD_ARGON2I, ['cost' => 11])) {
$password = password_hash($password, PASSWORD_ARGON2I, ['cost' => 11]);
}
password_needs_rehash()函数可以确定加密的密码是否使用指定的算法加密。所以:
用户身份验证->如果成功,当您仍然拥有他们刚刚提交的登录密码时,检查数据库中存储的密码。如果需要更新密码,请使用新算法重新散列普通密码并存储新的散列
显然,这过于简化了,但允许轻松迁移MD5->BCRYPT->ARGON2I->ARGON2D->无论有人提出什么新的超级算法
刚刚找到了我几个月前运行的示例,如果你们都想看的话,我把它插入了一个要点:https://gist.github.com/mbadolato/5bd07bf078f1fe0fff09b83ba8c41879
@Mark有人建议在Github问题(https://github.com/symfony/symfony-docs/issues/9356)上使用相同的方ob娱乐下载法。一次保护所有密码似乎更好。
评论截止。
为了确保评论保持相关性,旧帖子将被关闭。
或者将其添加到文档中欧宝官网下载app
Javier Eguiluz is a certified Symfony engineer.
Get certified! Online exams available in all countries.
Register Now