Immer wieder gab es in der letzten Zeit Probleme bei diversen, großen Website-Diensten mit geknackten Passwort-Datenbanken.

Leider viel zu oft waren die dortigen Passwörter gar nicht oder nur schlecht verschlüsselt, so dass schnell die Klartext-Passwörter gefunden waren.

Werbung

Werbeblocker aktiv?

Vermutlich aufgrund eines Werbeblockers kann an dieser Stelle leider keine Werbung angezeigt werden. Als Blog ist diese Website jedoch darauf angewiesen, um diverse Kosten abdecken zu können. Vielleicht möchtest du Servaholics ja in deinem Werbeblocker als Ausnahme hinzufügen und so unterstützen? 🙂

Mit einer neuen API, die in PHP 5.5 eingeführt werden wird, soll dies nun verhindert werden: wiki.php.net.

Nur eine Code-Zeile ist dabei nötig, um ein Passwort relativ sicher mit dem bcrypt-Verfahren in einen Hash zu verwandeln:

  1. $hash = password_hash($password, PASSWORD_DEFAULT);

Um einen sog. "Salt" muss sich der Entwickler ebenfalls nicht kümmern - er wird automatisch eingebaut.

Verifiziert werden kann ein Passwort via

  1. password_verify($password, $hash);

Das bcrypt-Verfahren gilt im Vergleich zu bspw. MD5 oder SHA1 als relativ sicher, da es bei langen Passwörter sehr rechenintensiv wäre, den Hash zu knacken.

Quellen: webmasterpro.de & heise.de

Deine Meinung zu diesem Artikel?