Immer wieder gab es in der letzten Zeit Probleme bei diversen, großen Website-Diensten mit geknackten Passwort-Datenbanken.
Leider viel zu oft waren die dortigen Passwörter gar nicht oder nur schlecht verschlüsselt, so dass schnell die Klartext-Passwörter gefunden waren.
Mit einer neuen API, die in PHP 5.5 eingeführt werden wird, soll dies nun verhindert werden: wiki.php.net.
Nur eine Code-Zeile ist dabei nötig, um ein Passwort relativ sicher mit dem bcrypt-Verfahren in einen Hash zu verwandeln:
$hash = password_hash($password, PASSWORD_DEFAULT);
Um einen sog. "Salt" muss sich der Entwickler ebenfalls nicht kümmern - er wird automatisch eingebaut.
Verifiziert werden kann ein Passwort via
password_verify($password, $hash);
Das bcrypt-Verfahren gilt im Vergleich zu bspw. MD5 oder SHA1 als relativ sicher, da es bei langen Passwörter sehr rechenintensiv wäre, den Hash zu knacken.
Quellen: webmasterpro.de & heise.de
