Überprüfen Sie, ob der von PHP generierte Passwort-Hash in Python übereinstimmt

Umgebung

PHP 7.1 Python 2.7.6

Was Sie überprüfen möchten

Ich entwickle gerade in PHP und verwende password_hash, um mein Passwort zu verschlüsseln. Vor langer Zeit habe ich mich gefragt, ob verschlüsselte Passwörter bei der Migration in eine andere Sprache (in diesem Fall Python) in Zukunft auf die gleiche Weise verwendet werden können: Frage: Mit anderen Worten, ich möchte sicherstellen, dass das Kennwort des Benutzers normal überprüft werden kann und ich mich auch nach der Migration zu Python anmelden kann. Um es etwas mikroskopischer auszudrücken, password_hash verwendet einen Verschlüsselungsalgorithmus namens Blowfish (siehe unten), daher würde ich gerne sehen, ob Blowfish auch in Python zum Abgleichen verwendet werden kann.

Mit PHP verschlüsseln

.php

password_hash('password', PASSWORD_DEFAULT);
// $2y$10$BN2hH0B3gnZceNlW1JXiNOUN8NWybLlfqZh6WQ/imah4htM8fktFW

password_hash('password', PASSWORD_BCRYPT);
// $2y$10$CuZkO0N29B1YtHHI9mwvIOCSUitQh4ptyfxYWvHhHoHHP2GZqC5Ga

Kommentar

Mit password_hash können Sie derzeit zwei Arten von Konstanten angeben: PASSWORD_DEFAULT und PASSWORD_BCRYPT. http://php.net/manual/ja/function.password-hash.php

Ich habe den Inhalt der Konstante überprüft (obwohl es sich um einen Stub handelt).

/php/lib/php.jar!/stubs/standard/password.php

define("PASSWORD_DEFAULT", 1);
define("PASSWORD_BCRYPT", 1);

** Immerhin zeigen sowohl PASSWORD_DEFAULT als auch PASSWORD_BCRYPT auf denselben Wert. ** **. In diesem Fall wird es in Bcrypt implementiert. Seit Bcrypt ≒ Blowfish ist der aktuelle Verschlüsselungsalgorithmus für password_hash immer Blowfish.

• Die Erklärung von Bcrypt war hier leicht zu verstehen. https://goo.gl/kpS5En

• Wenn Sie einen anderen Verschlüsselungsalgorithmus verwenden möchten, können Sie "Krypta" verwenden. http://php.net/manual/ja/function.crypt.php

Überprüfen Sie, ob es mit Python übereinstimmen kann

import bcrypt

password = b'password'
phpHash = '$2y$10$BN2hH0B3gnZceNlW1JXiNOUN8NWybLlfqZh6WQ/imah4htM8fktFW'

if bcrypt.checkpw(password, phpHash):
    print("It Matches!")
else:
    print("It Does not Match :(")

# It Matches!

** Erfolgreich abgeglichen: ok_woman_tone1: **

Kommentar

--Verwenden Sie das bcrypt-Modul, um zu überprüfen, ob das PHP-verschlüsselte Passwort übereinstimmt

• Sie müssen im Voraus ein Modul namens bcrypt installieren.
  • https://pypi.python.org/pypi/bcrypt/3.1.3 -- bcrypt.checkpw entspricht password_verify in PHP

Mame Wissen (ich wusste es einfach nicht)

Die verschlüsselte Version (ganz links) des Wertes, der mit PHPs "password_hash" generiert wurde, ist "$ 2y ". Bei der Generierung mit dem bcrypt-Modul von Python scheinen jedoch nur " 2a " und " 2b $" als verschlüsselte Versionen angegeben werden zu können.

salt = bcrypt.gensalt(rounds=10, prefix=b'2a')
password = b'password'
hashed = bcrypt.hashpw(password, salt)

• Präfix Teil

Ist das nicht das gleiche Passwort? Ich dachte: rollende Augen: aber es stimmte wie oben erwähnt überein. Im Gegenteil, selbst wenn der von bcrypt.hashpw generierte Wert mit password_verify übereinstimmte, stimmte er erfolgreich überein. Mit anderen Worten, selbst wenn die verschlüsselten Versionen unterschiedlich sind, z. B. "$ 2a " und " 2y ", werden sie als dasselbe Kennwort erkannt. Wenn Sie also in Zukunft zu Python wechseln, müssen Sie " 2y " durch " 2y $" ersetzen. Es ist keine Verarbeitung wie das Ersetzen durch $ 2a $ `erforderlich.