Длина соли Blowfish для функции Crypt ()? - PullRequest
10 голосов
/ 13 января 2011

Согласно документации crypt () , соль должна составлять 22 из 64 цифр от алфавита "./0-9A-Za-z".

Вот пример кода, который они дают:

crypt('rasmuslerdorf', '$2a$07$usesomesillystringforsalt$');

Первая запутанная часть состоит в том, что соль имеет 25 символов, а не 22.

Вопрос № 1: Означает ли это, что соль должна быть длиннее , чем 22 символа?

Потом я сам проверил функцию и кое-что заметил. Если я использую соль из 20 символов, я получу это

// using 20 char salt: 00000000001111111111
crypt('rasmuslerdorf', '$2a$07$00000000001111111111$');
// $2a$07$00000000001111111111$.6Th1f3O1SYpWaEUfdz7ieidkQOkGKh2

Итак, когда я использовал соль из 20 символов, вся соль была в выводе. Что удобно, потому что мне не нужно хранить соль в отдельном месте. (Я хочу использовать случайные соли). Я мог бы прочитать соль обратно из сгенерированного хеша.

Однако, если я использую соль из 22 символов, как написано в документации, или более длинную, соль в конце отсекается.

// using 22 char salt: 0000000000111111111122
crypt('rasmuslerdorf', '$2a$07$0000000000111111111122$');
// $2a$07$000000000011111111112uRTfyYkWmPPMWDRM/cUAlulrBkhVGlui
// 22nd character of the salt is gone

// using 25 char salt: 0000000000111111111122222
crypt('rasmuslerdorf', '$2a$07$0000000000111111111122222$');
// $2a$07$000000000011111111112uRTfyYkWmPPMWDRM/cUAlulrBkhVGlui
// Same hash was generated as before, 21 chars of the salt are in the hash

Вопрос № 2: Итак, какова точная длина соли? 20? 22? Longer?

Вопрос № 3: Кроме того, это хорошая идея, чтобы прочитать соль из хэша, когда пришло время проверить пароли? Вместо того, чтобы хранить соль в отдельном поле и читать ее оттуда. (Который кажется избыточным, так как соль, кажется, включена в хеш).

1 Ответ

8 голосов
/ 13 января 2011

Соли Blowfish должны быть длиной в 22 символа (включая конечный $, т. Е. 21) - вы можете проверить дважды с помощью var_dump(CRYPT_SALT_LENGTH), я не могу проверить это сейчас, но я предполагаю, что меньше символов вернет ошибку и больше символовбудет усечено.

По поводу вашего третьего вопроса: да, вы должны прочитать и проверить хеш, используя встроенные параметры соли (и стоимости) из самого хеша.

...