crypt

Beschreibung

crypt() gibt einen Hash-String zurück, der unter Verwendung des DES-basierten Unix-Standard-Hashingalgorithmus oder eines anderen Algorithmus erstellt wurde. password_verify() ist kompatibel zu crypt(). Daher können Passwort-Hashes, die mit crypt() erzeugt wurden, mit password_verify() verwendet werden.

Vor PHP 8.0.0 war der Parameter salt optional. Allerdings erzeugt crypt() ohne das salt einen schwachen Hash und einen E_NOTICE-Fehler. Es ist darauf zu achten, ein ausreichend starkes Salt für bessere Sicherheit anzugeben.

password_hash() verwendet einen starken Hash, erzeugt ein starkes Salt und wendet automatisch eine angemessene Anzahl von Runden an. password_hash() ist ein einfacher crypt()-Wrapper und kompatibel zu bestehenden Passwort-Hashes. Die Verwendung von password_hash() wird empfohlen.

Der verwendete Algorithmus wird durch das Salt-Argument bestimmt. Wird kein Salt angegeben, erzeugt PHP entweder einen 12-Zeichen-MD5-Salt oder, falls MD5 nicht verfügbar ist, einen 2-Zeichen-DES-Salt. PHP setzt eine Konstante CRYPT_SALT_LENGTH, welche die Länge des längsten von den Algorithmen unterstützten Salts enthält.

Der Standard-DES-Algorithmus gibt den Salt als erste 2 Zeichen zurück. Weiterhin werden nur die ersten acht Zeichen von string genutzt. Wenn also eine längere Zeichenkette verwendet wird, die mit denselben 8 Buchstaben beginnt, so erhalten Sie denselben Rückgabewert (sofern Sie ebenfalls den gleichen Salt genutzt haben).

Die folgenden Hash-Typen werden unterstützt.

• CRYPT_STD_DES - Standard DES-Hash mit einem 2-Zeichen-Salt aus dem Alphabet "./0-9A-Za-z". Bei Nutzung eines ungültigen Zeichens schlägt crypt() fehl.
• CRYPT_EXT_DES - Erweitertes DES-basiertes Hashing mit einem 9-Zeichen-Salt, bestehend aus einem Unterstrich, gefolgt von 4 Zeichen Iterationsanzahl und 4 Zeichen Salt. Jede dieser vierstelligen Zeichenketten kodiert 24 Bits, das Zeichen mit dem niedrigsten Wert zuerst. Die Werte 0 bis 63 werden als ./0-9A-Za-z kodiert. Bei Nutzung eines ungültigen Zeichens schlägt crypt() fehl.
• CRYPT_MD5 - MD5-Hashing mit 12-Zeichen-Salt, beginnend mit "$1$"
• CRYPT_BLOWFISH - Blowfish-Hash mit einem Salt folgenden Aufbaus: "$2a$", "$2x$" oder "$2y$", gefolgt von einem zweistelligen Kostenparameter, einem weiteren "$" und 22 Zeichen des Alphabets "./0-9A-Za-z". Bei Nutzung eines ungültigen Zeichens gibt crypt() eine leere Zeichenkette zurück. Der zweistellige Kostenparameter ist der binäre Logarithmus der Iterationsanzahl für den zugrundeliegenden Blowfish-basierten Hash-Algorithmus und muss im Bereich von 04-31 liegen. Bei Nutzung von Werten außerhalb dieses Bereichs schlägt crypt() fehl. "$2x$"-Hashes sind potenziell schwach; "$2a$"-Hashes sind kompatibel und entschärfen diese Schwäche. Für neue Hashes sollte "$2y$" verwendet werden.
• CRYPT_SHA256 - SHA-256-Hash mit einem 16-Zeichen-Salt, beginnend mit "$5$". Wenn anschließend "rounds=<N>$" folgt, gibt der Zahlenwert von N die Iterationsanzahl an, ansonsten wird 5000 als Anzahl angenommen. Die Anzahl muss zwischen 1000 und 999,999,999 liegen. Falls ein Wert außerhalb dieses Bereichs angegeben wird, wird die jeweils näher liegende Grenze als Anzahl genutzt.
• CRYPT_SHA512 - SHA-512-Hash mit einem 16-Zeichen-Salt, beginnend mit "$6$". Wenn anschließend "rounds=<N>$" folgt, gibt der Zahlenwert von N die Iterationsanzahl an, ansonsten wird 5000 als Anzahl angenommen. Die Anzahl muss zwischen 1000 und 999,999,999 liegen. Falls ein Wert außerhalb dieses Bereichs angegeben wird, wird die jeweils näher liegende Grenze als Anzahl genutzt.