「PHPにパスワードを保存するためにbcryptを使用する、bcryptルール」というアドバイスを時々聞いています。

しかし、何bcryptですか？PHPはそのような機能を提供していません。Wikipediaはファイル暗号化ユーティリティについて混乱しています。Web検索では、異なる言語でのBlowfishの実装がいくつか明らかになっています。現在、Blowfishはを介してPHPでも利用できますが、mcryptパスワードの保存にどのように役立ちますか？Blowfishは汎用の暗号であり、2つの方法で機能します。暗号化できた場合は、復号化できます。パスワードには一方向ハッシュ関数が必要です。

説明は何ですか？

bcrypt（構成可能なラウンド数を介して）ハードウェアでスケーラブルなハッシュアルゴリズムです。その低速さと複数回のラウンドにより、攻撃者はパスワードを解読するために莫大な資金とハードウェアを配備する必要があります。パスワードごとのソルト（bcryptREQUIRESソルト）に追加すると、途方もない量の資金やハードウェアがなければ、攻撃は事実上実行不可能であると確信できます。

bcryptEksblowfishアルゴリズムを使用してパスワードをハッシュします。EksblowfishとBlowfishの暗号化フェーズはまったく同じですが、Eksblowfishのキースケジュールフェーズでは、後続の状態がソルトとキー（ユーザーパスワード）の両方に依存することが保証され、両方の知識がなければ状態を事前計算できません。この重要な違いにより、bcryptは一方向ハッシュアルゴリズムです。ソルト、ラウンド、キー（パスワード）を知らなければ、プレーンテキストのパスワードを取得することはできません。【出典】

bcryptの使用方法：

PHP> = 5.5-DEVの使用

パスワードハッシュ関数がPHP> = 5.5に直接組み込まれました。これで、任意のパスワードのハッシュpassword_hash()を作成するために使用bcryptできます。

<?php
// Usage 1:
echo password_hash('rasmuslerdorf', PASSWORD_DEFAULT)."\n";
// $2y$10$xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
// For example:
// $2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a

// Usage 2:
$options = [
  'cost' => 11
];
echo password_hash('rasmuslerdorf', PASSWORD_BCRYPT, $options)."\n";
// $2y$11$6DP.V0nO7YI3iSki4qog6OQI5eiO6Jnjsqg7vdnb.JgGIsxniOn4C

ユーザー提供のパスワードを既存のハッシュと照合するにはpassword_verify()、次のように使用できます。

<?php
// See the password_hash() example to see where this came from.
$hash = '$2y$07$BCryptRequires22Chrcte/VlQH0piJtjXl.0t1XkA8pw9dMXTpOq';

if (password_verify('rasmuslerdorf', $hash)) {
    echo 'Password is valid!';
} else {
    echo 'Invalid password.';
}

PHP> = 5.3.7、<5.5-DEVを使用（RedHat PHP> = 5.3.3）

あり、互換性ライブラリのGitHubのは、もともとCで記述された上記の関数のソースコードに基づい作成さには、同じ機能を提供ます。互換性ライブラリをインストールすると、使用法は上記と同じになります（5.3.xブランチを使用している場合は、配列の省略表記を差し引いてください）。

PHP <5.3.7の使用（非推奨）

crypt()関数を使用して、入力文字列のbcryptハッシュを生成できます。このクラスは自動的にソルトを生成し、既存のハッシュを入力に対して検証できます。5.3.7以降のバージョンのPHPを使用している場合は、組み込み関数またはcompatライブラリを使用することを強くお勧めします。この代替手段は、歴史的な目的でのみ提供されています。

class Bcrypt{
  private $rounds;

  public function __construct($rounds = 12) {
    if (CRYPT_BLOWFISH != 1) {
      throw new Exception("bcrypt not supported in this installation. See http://php.net/crypt");
    }

    $this->rounds = $rounds;
  }

  public function hash($input){
    $hash = crypt($input, $this->getSalt());

    if (strlen($hash) > 13)
      return $hash;

    return false;
  }

  public function verify($input, $existingHash){
    $hash = crypt($input, $existingHash);

    return $hash === $existingHash;
  }

  private function getSalt(){
    $salt = sprintf('$2a$%02d$', $this->rounds);

    $bytes = $this->getRandomBytes(16);

    $salt .= $this->encodeBytes($bytes);

    return $salt;
  }

  private $randomState;
  private function getRandomBytes($count){
    $bytes = '';

    if (function_exists('openssl_random_pseudo_bytes') &&
        (strtoupper(substr(PHP_OS, 0, 3)) !== 'WIN')) { // OpenSSL is slow on Windows
      $bytes = openssl_random_pseudo_bytes($count);
    }

    if ($bytes === '' && is_readable('/dev/urandom') &&
       ($hRand = @fopen('/dev/urandom', 'rb')) !== FALSE) {
      $bytes = fread($hRand, $count);
      fclose($hRand);
    }

    if (strlen($bytes) < $count) {
      $bytes = '';

      if ($this->randomState === null) {
        $this->randomState = microtime();
        if (function_exists('getmypid')) {
          $this->randomState .= getmypid();
        }
      }

      for ($i = 0; $i < $count; $i += 16) {
        $this->randomState = md5(microtime() . $this->randomState);

        if (PHP_VERSION >= '5') {
          $bytes .= md5($this->randomState, true);
        } else {
          $bytes .= pack('H*', md5($this->randomState));
        }
      }

      $bytes = substr($bytes, 0, $count);
    }

    return $bytes;
  }

  private function encodeBytes($input){
    // The following is code from the PHP Password Hashing Framework
    $itoa64 = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';

    $output = '';
    $i = 0;
    do {
      $c1 = ord($input[$i++]);
      $output .= $itoa64[$c1 >> 2];
      $c1 = ($c1 & 0x03) << 4;
      if ($i >= 16) {
        $output .= $itoa64[$c1];
        break;
      }

      $c2 = ord($input[$i++]);
      $c1 |= $c2 >> 4;
      $output .= $itoa64[$c1];
      $c1 = ($c2 & 0x0f) << 2;

      $c2 = ord($input[$i++]);
      $c1 |= $c2 >> 6;
      $output .= $itoa64[$c1];
      $output .= $itoa64[$c2 & 0x3f];
    } while (true);

    return $output;
  }
}

このコードは次のように使用できます。

$bcrypt = new Bcrypt(15);

$hash = $bcrypt->hash('password');
$isGood = $bcrypt->verify('password', $hash);

または、Portable PHP Hashing Frameworkを使用することもできます。

だから、あなたはbcryptを使いたいですか？驚くばかり！ただし、暗号化の他の領域と同様に、自分で行うべきではありません。キーの管理、ソルトの保存、乱数の生成などについて心配する必要がある場合は、間違っています。

その理由は簡単です。bcryptを台無しにするのは簡単なことです。実際、このページのほとんどすべてのコードを見ると、これらの一般的な問題の少なくとも1つに違反していることがわかります。

それに直面して、暗号化は難しいです。

専門家にお任せください。これらのライブラリを維持するのが仕事の人のために残してください。決定を下す必要がある場合、それは間違っています。

代わりに、ライブラリを使用してください。要件に応じていくつか存在します。

図書館

以下は、より一般的なAPIの内訳です。

PHP 5.5 API-（5.3.7以降で利用可能）

PHP 5.5以降、パスワードをハッシュするための新しいAPIが導入されています。5.3.7以降用に維持されている（私が）シム互換性ライブラリもあります。これは、ピアレビューおよびという利点がある簡単な使用への実装を。

function register($username, $password) {
    $hash = password_hash($password, PASSWORD_BCRYPT);
    save($username, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    if (password_verify($password, $hash)) {
        //login
    } else {
        // failure
    }
}

本当に、それは非常にシンプルであることを目指しています。

リソース：

• ドキュメント：PHP.net
• 互換性ライブラリ：GitHub
• PHPのRFC：wiki.php.net

Zend \ Crypt \ Password \ Bcrypt（5.3.2+）

これは、PHP 5.5に似た別のAPIであり、同様の目的を果たします。

function register($username, $password) {
    $bcrypt = new Zend\Crypt\Password\Bcrypt();
    $hash = $bcrypt->create($password);
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $bcrypt = new Zend\Crypt\Password\Bcrypt();
    if ($bcrypt->verify($password, $hash)) {
        //login
    } else {
        // failure
    }
}

リソース：

• ドキュメント：Zend
• ブログ投稿：Zend Cryptによるパスワードハッシュ

PasswordLib

これは、パスワードハッシュに対する少し異なるアプローチです。PasswordLibは単にbcryptをサポートするのではなく、多数のハッシュアルゴリズムをサポートしています。これは主に、制御できない可能性があるレガシーシステムと異種システムとの互換性をサポートする必要がある状況で役立ちます。多数のハッシュアルゴリズムをサポートしています。5.3.2以降でサポートされています

function register($username, $password) {
    $lib = new PasswordLib\PasswordLib();
    $hash = $lib->createPasswordHash($password, '$2y$', array('cost' => 12));
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $lib = new PasswordLib\PasswordLib();
    if ($lib->verifyPasswordHash($password, $hash)) {
        //login
    } else {
        // failure
    }
}

参照：

• ソースコード/ドキュメント：GitHub

PHPASS

これはbcryptをサポートする層ですが、PHP> = 5.3.2にアクセスできない場合に便利なかなり強力なアルゴリズムもサポートします。

function register($username, $password) {
    $phpass = new PasswordHash(12, false);
    $hash = $phpass->HashPassword($password);
    save($user, $hash);
}

function login($username, $password) {
    $hash = loadHashByUsername($username);
    $phpass = new PasswordHash(12, false);
    if ($phpass->CheckPassword($password, $hash)) {
        //login
    } else {
        // failure
    }
}

資源

• コード：cvsweb
• プロジェクトサイト：OpenWall
• 5.3.0未満のアルゴリズムのレビュー：StackOverflow

注意： OpenwallでホストされていないPHPASSの代替を使用しないでこれらは別のプロジェクトです!!!

BCryptについて

気づいたら、これらのライブラリはすべて1つの文字列を返します。これは、BCryptが内部でどのように機能するかによるものです。そして、それについてたくさんの答えがあります。ここに私が書いたセレクションがあります。ここにはコピー/貼り付けしませんが、リンクします。

• ハッシュアルゴリズムと暗号化アルゴリズムの基本的な違い -用語とそれらに関するいくつかの基本的な情報を説明します。
• レインボーテーブルのないハッシュの逆転について -基本的になぜ最初にbcryptを使用する必要があるのか​​...
• bcryptハッシュの格納 -基本的に、ソルトとアルゴリズムがハッシュ結果に含まれるのはなぜですか。
• bcryptハッシュのコストを更新する方法 -基本的を選択して維持する方法。
• bcryptで長いパスワードをハッシュする方法-bcryptの72文字のパスワード制限について説明します。
• bcryptがソルトを使用する方法
• パスワードのソルトとペッパーのベストプラクティス -基本的に、「ペッパー」は使用しないでください
• 古いmd5パスワードをbcryptに移行する

要約

多くの異なる選択肢があります。どちらを選ぶかはあなた次第です。ただし、これを処理するには、上記のライブラリのいずれかを使用することを強くお勧めします。

繰り返しますが、crypt()直接使用している場合は、おそらく何かが間違っています。コードがhash()（またはmd5()またはsha1()）を直接使用している場合は、ほぼ間違いなく何かが間違っています。

ライブラリを使用するだけ...

「十分なレインボーテーブル：安全なパスワードスキームまたはポータブルPHPパスワードハッシュフレームワークについて知っておくべきこと」で、多くの情報を入手できます。

目標は、パスワードを遅いものでハッシュすることです。そのため、パスワードデータベースを取得している誰かがそれを総当たり攻撃しようとして死ぬことになります（パスワードをチェックするための10ミリ秒の遅延はあなたにとって何の意味もありません。Bcryptは低速であり、パラメーターと一緒に使用して、速度を選択できます。

PHPのcrypt()関数を使用してbcryptで一方向のハッシュを作成し、適切なBlowfishソルトを渡すことができます。方程式全体で最も重要なのは、A）アルゴリズムが危険にさらされていないこと、およびB）各パスワードを適切にソルトすることです。アプリケーション全体のソルトを使用しないでください。これにより、アプリケーション全体が開かれ、1セットのRainbowテーブルから攻撃できるようになります。

PHP-暗号関数

編集：2013.01.15-サーバーがサポートする場合は、代わりにmartinstoeckliのソリューションを使用します。

誰もがこれをもっと複雑にしたいと思っています。crypt（）関数はほとんどの作業を行います。

function blowfishCrypt($password,$cost)
{
    $chars='./ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';
    $salt=sprintf('$2y$%02d$',$cost);
//For PHP < PHP 5.3.7 use this instead
//    $salt=sprintf('$2a$%02d$',$cost);
    //Create a 22 character salt -edit- 2013.01.15 - replaced rand with mt_rand
    mt_srand();
    for($i=0;$i<22;$i++) $salt.=$chars[mt_rand(0,63)];
    return crypt($password,$salt);
}

例：

$hash=blowfishCrypt('password',10); //This creates the hash
$hash=blowfishCrypt('password',12); //This creates a more secure hash
if(crypt('password',$hash)==$hash){ /*ok*/ } //This checks a password

明らかなはずですが、パスワードに「password」を使用しないでください。

PHPのバージョン5.5には、BCrypt、関数password_hash()、およびのサポートが組み込まれていますpassword_verify()。実際、これらは関数のラッパーにすぎずcrypt()、正しく使用しやすくなります。安全なランダムソルトの生成を処理し、適切なデフォルト値を提供します。

この関数を使用する最も簡単な方法は次のとおりです。

$hashToStoreInDb = password_hash($password, PASSWORD_BCRYPT);
$isPasswordCorrect = password_verify($password, $existingHashFromDb);

このコードは、BCrypt（アルゴリズム2y）でパスワードをハッシュし、OSのランダムソースからランダムなソルトを生成し、デフォルトのコストパラメーター（現時点では10）を使用します。2行目は、ユーザーが入力したパスワードが既に保存されているハッシュ値と一致するかどうかをチェックします。

コストパラメータを変更する場合は、次のようにしてコストパラメータを1増やし、ハッシュ値の計算に必要な時間を2倍にします。

$hash = password_hash($password, PASSWORD_BCRYPT, array("cost" => 11));

"cost"パラメータとは対照的に、"salt"関数はすでに暗号的に安全なソルトを作成するために最善を尽くしているため、パラメータを省略することが最善です。

PHPバージョン5.3.7以降では、関数を作成したのと同じ作者による互換性パックが存在しpassword_hash()ます。5.3.7より前のバージョンのPHP では、Unicode対応のBCryptアルゴリズムであるcrypt()with はサポートされていません2y。代わりにで置き換えることができ2aます。これは、以前のPHPバージョンの最良の代替手段です。

現在の考え方：ハッシュは、可能な最速ではなく、利用可能な最も遅いはずです。これにより、レインボーテーブル攻撃が抑制されます。

また、関連していますが、注意が必要です。攻撃者がログイン画面に無制限にアクセスすることはできません。それを防ぐには：すべてのヒットとURIを記録するIPアドレス追跡テーブルを設定します。ログインの試行が5分を超えても同じIPアドレスから5回を超える場合は、説明でブロックします。2番目のアプローチは、銀行のように2層のパスワード方式を使用することです。2回目のパスで障害に対するロックアウトを設定すると、セキュリティが向上します。

概要：時間のかかるハッシュ関数を使用して、攻撃者を遅くします。また、ログインへのアクセスをブロックし、2番目のパスワード階層を追加します。

これは、この古い質問に対する更新された回答です！

PHPでパスワードをハッシュする正しい方法は5.5以降であり、パスワードpassword_hash()を確認する正しい方法はでpassword_verify()あり、これはPHP 8.0でも同じです。これらの関数はデフォルトでbcryptハッシュを使用しますが、他のより強力なアルゴリズムが追加されています。password_hashパラメータを使用して、作業要素（効果的に暗号化の「強さ」）を変更できます。

ただし、bcryptはまだ十分に強力ですが、bcryptは最新のものとは見なされなくなりました。Argon2と呼ばれる、より良いパスワードハッシュアルゴリズムのセットが到着しました。それらの違い（ここで説明されています）：

Argon2には、Argon2idとArgon2dとArgon2iの2つの主要なバリアントがあります。Argon2dは、データに依存するメモリアクセスを使用するため、サイドチャネルタイミング攻撃の脅威がなく、暗号通貨や作業証明アプリケーションに適しています。Argon2iは、データに依存しないメモリアクセスを使用します。これは、パスワードハッシュおよびパスワードベースのキー導出に適しています。Argon2idは、メモリの最初の反復の前半ではArgon2iとして機能し、残りの部分ではArgon2dとして機能するため、サイドメモリ攻撃の保護と、時間とメモリのトレードオフによるブルートフォースコストの節約の両方を提供します。

Argon2iサポートはPHP 7.2で追加され、次のように要求します。

$hash = password_hash('mypassword', PASSWORD_ARGON2I);

そしてArgon2idのサポートはPHP 7.3で追加されました：

$hash = password_hash('mypassword', PASSWORD_ARGON2ID);

結果のハッシュ文字列には、作成時に使用されたアルゴリズム、ソルト、および作業要素に関する情報が含まれているため、パスワードの検証に変更は必要ありません。

libsodium（PHP 7.2で追加）はまったく個別に（そして多少冗長に）、sodium_crypto_pwhash_str ()and sodium_crypto_pwhash_str_verify()関数を介してArgon2ハッシュも提供します。これは、PHP組み込みとほぼ同じように機能します。これらを使用する理由の1つとして、PHPがlibargon2なしでコンパイルされることがあり、そのためArgon2アルゴリズムがpassword_hash関数で使用できなくなることがあります。PHP 7.2以降では常にlibsodiumが有効になっている必要がありますが、有効になっていない場合もありますが、そのアルゴリズムを使用するには、少なくとも2つの方法があります。libsodiumを使用してArgon2idハッシュを作成する方法は次のとおりです（PHP 7.2でも、Argon2idのサポートがない場合））。

$hash = sodium_crypto_pwhash_str(
    'mypassword',
    SODIUM_CRYPTO_PWHASH_OPSLIMIT_INTERACTIVE,
    SODIUM_CRYPTO_PWHASH_MEMLIMIT_INTERACTIVE
);

手動でソルトを指定することはできないことに注意してください。これはlibsodiumの精神の一部です。ユーザーがparamsをセキュリティを危険にさらす可能性のある値に設定できないようにしてください。たとえば、空のソルト文字列をPHPのpassword_hash関数に渡すことを妨げるものはありません。libsodiumはあなたにそんな馬鹿なことをさせません！

以下のためのOAuth 2パスワード：

$bcrypt = new \Zend\Crypt\Password\Bcrypt;
$bcrypt->create("youpasswordhere", 10)

データベースにクリアテキストでパスワードを保存することは安全ではありません。bcryptはハッシュパスワード技術であり、パスワードセキュリティを構築するために使用されます。bcryptの驚くべき機能の1つは、パスワードがbcryptされた形式で保存されるため、ハッキング攻撃からパスワードを保護するために使用されるハッカーから私たちを救うことです。

password_hash（）関数は、新しいパスワードハッシュを作成するために使用されます。強力で堅牢なハッシュアルゴリズムを使用します。password_hash（）関数は、crypt（）関数と非常に互換性があります。したがって、crypt（）によって作成されたパスワードハッシュはpassword_hash（）で使用でき、その逆も可能です。関数password_verify（）とpassword_hash（）は、関数crypt（）のラッパーにすぎず、正確に使用することがはるかに簡単になります。

構文

string password_hash($password , $algo , $options)

現在、次のアルゴリズムがpassword_hash（）関数でサポートされています。

PASSWORD_DEFAULT PASSWORD_BCRYPT PASSWORD_ARGON2I PASSWORD_ARGON2ID

パラメータ：この関数は、上記および下記の3つのパラメータを受け入れます。

password：ユーザーのパスワードを格納します。 algo：パスワードのハッシュが行われるときに使用されるアルゴリズムを示しながら、継続的に使用されるパスワードアルゴリズム定数です。 options：オプションを含む連想配列です。これが削除されて含まれていない場合、ランダムなソルトが使用され、デフォルトのコストが使用されます。 戻り 値：成功した場合はハッシュされたパスワードを、失敗した場合はFalseを返します。

例：

Input : echo password_hash("GFG@123", PASSWORD_DEFAULT); Output : $2y$10$.vGA19Jh8YrwSJFDodbfoHJIOFH)DfhuofGv3Fykk1a

以下のプログラムは、PHPのpassword_hash（）関数を示しています。

<?php echo password_hash("GFG@123", PASSWORD_DEFAULT); ?>

出力

$2y$10$Z166W1fBdsLcXPVQVfPw/uRq1ueWMA6sLt9bmdUFz9AmOGLdM393G