Neues Passwort-Hashing-API: So kann man migrieren
Kommentare

PHP 5.5 liefert neben dem Opcache eine weitere Neuerung, die Entwickler vor ein wenig Migrations-Aufwand stellt: Das Password Hashing API von Anthony Ferrara ist eine neuartige Möglichkeit, Passwörter

PHP 5.5 liefert neben dem Opcache eine weitere Neuerung, die Entwickler vor ein wenig Migrations-Aufwand stellt: Das Password Hashing API von Anthony Ferrara ist eine neuartige Möglichkeit, Passwörter zu hashen oder zu verifizieren. Mit ihm sollen unsichere Implementierungen der Vergangenheit angehören, sodass das Sicherheitsniveau von PHP generell angehoben werden soll. Den bisherigen Tutorials zu diesem und den anderen Features gesellen sich glücklicherweise ständig neue hinzu.

So auch das von Knot Friends Lead Developer Jeremy Curcio, in dem er in wenigen Zeilen ein wesentlich simpleres Beispiel vorstellt, als es in der PHP-Dokumentation zu erwarten wäre. Das komplette Quartett aus password_get_info()password_hash(),password_needs_rehash(), and password_verify() spielt er hierbei durch. In weniger als zwei Minuten versteht man, welche Logik sich hinter dem API verbirgt und wie sie in der Praxis aussieht. Leider zeigt Curcio dies nur für das Erstellen oder Auswerten neuer Hashwerte.

Legacy-Implementierungen jedoch sollten ebenfalls noch einmal überprüft werden. Sofern Euer Framework nicht bereits das Hashing für Euch übernommen hat, oder Ihr Code warten müsst, in dem Hashing nur sehr rudimentär implementiert wurde, ist eine Migration der Passwörter angebracht. API-Konzeptionist Anthony Ferrara hat auch dies bedacht und in einem GitHub-Gist vorgemacht, wie so etwas aussehen könnte. Sein „Proof of Concept“ zeigt, wie man in einer Hashtabelle alte Hashes identifiziert und gegebenenfalls in neue Hashes überführt.

Bild: digital key in keyhole von Shutterstock / Urheberrecht: Maksim Kabakou

Unsere Redaktion empfiehlt:

Relevante Beiträge

Meinungen zu diesem Beitrag

X
- Gib Deinen Standort ein -
- or -