-
Notifications
You must be signed in to change notification settings - Fork 39
/
password-hash.xml
462 lines (452 loc) · 14.5 KB
/
password-hash.xml
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
<?xml version="1.0" encoding="utf-8"?>
<!-- $Revision$ -->
<!-- EN-Revision: 5bc68add3da3cd18c40f851e944b15095d3a26aa Maintainer: nobody Status: ready -->
<!-- Reviewed: yes -->
<!-- Rev-Revision: 79c06cc0e7872f1401a4c37dc9298b0bedb0dde4 Reviewer: samesch -->
<refentry xml:id="function.password-hash" xmlns="http://docbook.org/ns/docbook" xmlns:xlink="http://www.w3.org/1999/xlink">
<refnamediv>
<refname>password_hash</refname>
<refpurpose>Erstellt einen Passwort-Hash</refpurpose>
</refnamediv>
<refsect1 role="description">
&reftitle.description;
<methodsynopsis>
<type>string</type><methodname>password_hash</methodname>
<methodparam><modifier role="attribute">#[\SensitiveParameter]</modifier><type>string</type><parameter>password</parameter></methodparam>
<methodparam><type class="union"><type>string</type><type>int</type><type>null</type></type><parameter>algo</parameter></methodparam>
<methodparam choice="opt"><type>array</type><parameter>options</parameter><initializer>[]</initializer></methodparam>
</methodsynopsis>
<para>
<function>password_hash</function> erstellt einen neuen Passwort-Hash und
benutzt dabei einen starken Einweg-Hashing-Algorithmus.
</para>
<simpara>
Die folgenden Algorithmen werden zur Zeit unterstützt:
</simpara>
<para>
<itemizedlist>
<listitem>
<simpara>
<constant>PASSWORD_DEFAULT</constant> - Verwendet den bcrypt-Algorithmus
(Standard in PHP 5.5.0). Es ist zu beachten, dass sich diese Konstante
mit der Zeit ändern wird, wenn stärkere Algorithmen in PHP implementiert
werden. Aus diesem Grund kann sich die Länge des zurückgegebenen Strings
mit der Zeit ändern. Es wird deshalb empfohlen das Ergebnis in einem
Datenbankfeld zu speichern, das mehr als 60 Zeichen speichern kann.
(&zb; 255 Zeichen).
</simpara>
</listitem>
<listitem>
<simpara>
<constant>PASSWORD_BCRYPT</constant> - Verwendet den
<constant>CRYPT_BLOWFISH</constant>-Algorithmus zum Erstellen des
Hashes. Dieser erstellt einen <function>crypt</function>-kompatiblen
Hash und benutzt die "$2y$"-Kennung. Es wird immer ein 60 Zeichen langer
String zurückgegeben, &return.falseforfailure;
</simpara>
</listitem>
<listitem>
<simpara>
<constant>PASSWORD_ARGON2I</constant> - Verwendet den
Argon2i-Algorithmus zur Erstellung des Hashes. Dieser Algorithmus ist
nur verfügbar, wenn PHP mit Argon2-Unterstützung kompiliert wurde.
</simpara>
</listitem>
<listitem>
<simpara>
<constant>PASSWORD_ARGON2ID</constant> - Verwendet den
Argon2id-Algorithmus zur Erstellung des Hashes. Dieser Algorithmus ist
nur verfügbar, wenn PHP mit Argon2-Unterstützung kompiliert wurde.
</simpara>
</listitem>
</itemizedlist>
</para>
<simpara>
Unterstützte Optionen für <constant>PASSWORD_BCRYPT</constant>:
</simpara>
<para>
<itemizedlist>
<listitem>
<para>
<literal>salt</literal> (<type>string</type>) - um manuell ein Salt
anzugeben, das beim Hashing des Passworts verwendet wird. Es ist zu
beachten, dass diese Option die automatische Generierung des Salt
verhindert.
</para>
<para>
Wenn diese Option nicht angegeben wird, erzeugt die Funktion
<function>password_hash</function> für jedes gehashte Passwort ein
zufälliges Salt. Dies ist die vorgesehene Funktionsweise.
</para>
<warning>
<para>
Die salt-Option wird missbilligt. Es wird nun empfohlen, einfach das
Salt zu verwenden, das standardmäßig erzeugt wird. Ab PHP 8.0.0 wird
ein explizit angegebenes Salt ignoriert.
</para>
</warning>
</listitem>
<listitem>
<para>
<literal>cost</literal> (<type>int</type>) - bezeichnet die
algorithmischen Kosten, die verwendet werden sollen. Beispiele für
diesen Wert finden Sie finden Sie auf der Seite
<function>crypt</function>.
</para>
<para>
Wenn diese Option nicht angegeben wird, wird ein Standardwert von
<literal>10</literal> verwendet. Dies ist eine gute Basis für die
Kosten, aber je nach Hardware sollten Sie in Betracht ziehen, den Wert
zu erhöhen.
</para>
</listitem>
</itemizedlist>
</para>
<simpara>
Unterstützte Optionen für <constant>PASSWORD_ARGON2I</constant> und
<constant>PASSWORD_ARGON2ID</constant>:
</simpara>
<para>
<itemizedlist>
<listitem>
<para>
<literal>memory_cost</literal> (<type>int</type>) - Maximaler Speicher
(in Kibibytes), der zum Berechnen des Argon2-Hashes verwendet werden
darf. Der Standardwert ist
<constant>PASSWORD_ARGON2_DEFAULT_MEMORY_COST</constant>.
</para>
</listitem>
<listitem>
<para>
<literal>time_cost</literal> (<type>int</type>) - Maximale Zeit, die
die das Berechnen des Argon2-Hashes dauern darf. Der Standardwert ist
<constant>PASSWORD_ARGON2_DEFAULT_TIME_COST</constant>.
</para>
</listitem>
<listitem>
<para>
<literal>threads</literal> (<type>int</type>) - Anzahl der zu
verwendenden Threads zum Berechnen des Argon2-Hashes. Der Standardwert
ist <constant>PASSWORD_ARGON2_DEFAULT_THREADS</constant>.
</para>
<warning>
<para>
Nur verfügbar, wenn PHP libargon2 verwendet, nicht für
libsodium-Implementierungen.
</para>
</warning>
</listitem>
</itemizedlist>
</para>
</refsect1>
<refsect1 role="parameters">
&reftitle.parameters;
<variablelist>
<varlistentry>
<term><parameter>password</parameter></term>
<listitem>
<para>
&password.parameter.password;
</para>
<caution>
<para>
Die Verwendung von <constant>PASSWORD_BCRYPT</constant> als
Algorithmus führt dazu, dass der Parameter
<parameter>password</parameter> auf eine Höchstlänge von 72 Bytes
gekürzt wird.
</para>
</caution>
</listitem>
</varlistentry>
<varlistentry>
<term><parameter>algo</parameter></term>
<listitem>
<para>
&password.parameter.algo;
</para>
</listitem>
</varlistentry>
<varlistentry>
<term><parameter>options</parameter></term>
<listitem>
<para>
&password.parameter.options;
</para>
<para>
Wenn diese Option weggelassen wird, wird ein zufälliges Salz erzeugt und
die Standardkosten werden verwendet.
</para>
</listitem>
</varlistentry>
</variablelist>
</refsect1>
<refsect1 role="returnvalues">
&reftitle.returnvalues;
<para>
Gibt den Passwort-Hash zurück.
</para>
<para>
Der verwendete Algorithmus, der Aufwand und das Salt werden als Teil des
Hashes zurückgegeben. Daher sind alle Informationen, die benötigt werden,
um den Hash zu verifizieren, darin enthalten. Dies erlaubt es der Funktion
<function>password_verify</function> den Hash zu überprüfen, ohne dass eine
separate Speicherung für das Salt oder die Algorithmus-Informationen
erforderlich ist.
</para>
</refsect1>
<refsect1 role="changelog">
&reftitle.changelog;
<para>
<informaltable>
<tgroup cols="2">
<thead>
<row>
<entry>&Version;</entry>
<entry>&Description;</entry>
</row>
</thead>
<tbody>
<row>
<entry>8.0.0</entry>
<entry>
<function>password_hash</function> gibt im Fehlerfall nicht mehr
&false; zurück; stattdessens wird ein
<classname>ValueError</classname> ausgelöst, wenn der
Passwort-Hashing-Algorithmus ungültig ist, oder ein
<classname>Error</classname>, wenn das Passwort-Hashing aufgrund eines
unbekannten Fehlers fehlschlug.
</entry>
</row>
<row>
<entry>8.0.0</entry>
<entry>
Der Parameter <parameter>algo</parameter> ist jetzt nullable
(akzeptiert den NULL-Wert).
</entry>
</row>
<row>
<entry>7.4.0</entry>
<entry>
Der Parameter <parameter>algo</parameter> erwartet nun einen &string;,
akzeptiert aber aus Gründen der Abwärtskompatibilität noch immer
&integer;.
</entry>
</row>
<row>
<entry>7.4.0</entry>
<entry>
Die Sodium-Erweiterung bietet eine alternative Implementierung für
Argon2-Passwörter.
</entry>
</row>
<row>
<entry>7.3.0</entry>
<entry>
Mit <constant>PASSWORD_ARGON2ID</constant> wurde die Unterstützung
für Argon2id-Passwörter hinzugefügt.
</entry>
</row>
<row>
<entry>7.2.0</entry>
<entry>
Mit <constant>PASSWORD_ARGON2I</constant> wurde die Unterstützung für
Argon2i-Passwörter hinzugefügt.
</entry>
</row>
</tbody>
</tgroup>
</informaltable>
</para>
</refsect1>
<refsect1 role="examples">
&reftitle.examples;
<para>
<example>
<title><function>password_hash</function>-Beispiel</title>
<programlisting role="php">
<![CDATA[
<?php
/**
* Wir wollen nur unser Passwort mit dem aktuellen STANDARD-Algorithmus hashen.
* Dieser ist derzeit BCRYPT und liefert ein Ergebnis mit 60 Zeichen.
*
* Beachten Sie, dass sich STANDARD im Laufe der Zeit ändern kann, daher
* sollten Sie sich darauf vorbereiten, indem Sie die Speicherung von mehr als
* 60 Zeichen ermöglichen (255 wäre gut).
*/
echo password_hash("rasmuslerdorf", PASSWORD_DEFAULT);
?>
]]>
</programlisting>
&example.outputs.similar;
<screen>
<![CDATA[
$2y$10$.vGA1O9wmRjrwAVXD98HNOgsNpDczlqm3Jq7KnEd1rVAGv3Fykk1a
]]>
</screen>
</example>
</para>
<para>
<example>
<title><function>password_hash</function>-Beispiel mit manuell festgelegten Kosten</title>
<programlisting role="php">
<![CDATA[
<?php
/**
* In diesem Fall wollen wir die Standardkosten für BCRYPT auf 12 erhöhen.
* Beachten Sie, dass wir auch auf BCRYPT umgestellt haben, das immer 60
* Zeichen haben wird.
*/
$optionen = [
'cost' => 12,
];
echo password_hash("rasmuslerdorf", PASSWORD_BCRYPT, $optionen);
?>
]]>
</programlisting>
&example.outputs.similar;
<screen>
<![CDATA[
$2y$12$QjSH496pcT5CEbzjD/vtVeH03tfHKFy36d4J0Ltp3lRtee9HDxY3K
]]>
</screen>
</example>
</para>
<para>
<example>
<title><function>password_hash</function>-Beispiel für die Suche nach angemessenen Kosten</title>
<programlisting role="php">
<![CDATA[
<?php
/**
* Dieser Code führt einen Benchmark Ihres Servers durch, um festzustellen,
* wie hoch die Kosten sind, die Sie sich leisten können. Sie sollten die
* höchsten Kosten einstellen, die Sie sich leisten können, ohne dass der
* Server zu sehr verlangsamt wird. 10 ist ein guter Grundwert, und mehr ist
* gut, wenn Ihre Server schnell genug sind. Der folgende Code zielt auf eine
* Dehnungszeit von ≤ 350 Millisekunden ab, was eine geeignete Verzögerung für
* Systeme ist, die interaktive Anmeldungen verarbeiten.
*/
$zeitZiel = 0.350; // 350 Millisekunden
$kosten = 10;
do {
$kosten++;
$start = microtime(true);
password_hash("test", PASSWORD_BCRYPT, ["cost" => $kosten]);
$ende = microtime(true);
} while (($ende - $start) < $zeitZiel);
echo "Ermittelte angemessene Kosten: " . $kosten;
?>
]]>
</programlisting>
&example.outputs.similar;
<screen>
<![CDATA[
Ermittelte angemessene Kosten: 12
]]>
</screen>
</example>
</para>
<para>
<example>
<title><function>password_hash</function>-Beispiel, das Argon2i verwendet</title>
<programlisting role="php">
<![CDATA[
<?php
echo 'Argon2i-Hash: ' . password_hash('rasmuslerdorf', PASSWORD_ARGON2I);
?>
]]>
</programlisting>
&example.outputs.similar;
<screen>
<![CDATA[
Argon2i-Hash: $argon2i$v=19$m=1024,t=2,p=2$YzJBSzV4TUhkMzc3d3laeg$zqU/1IN0/AogfP4cmSJI1vc8lpXRW9/S0sYY2i2jHT0
]]>
</screen>
</example>
</para>
</refsect1>
<refsect1 role="notes">
&reftitle.notes;
<caution>
<para>
Es wird dringend empfohlen, dass Sie kein eigenes Salz für diese Funktion
verwenden. Es wird automatisch ein sicheres Salt für Sie erzeugt, wenn Sie
keines angeben.
</para>
<para>
Wie oben erwähnt, erzeugt die Angabe der Option <literal>salt</literal> in
PHP 7.0 eine Missbilligungs-Warnung. Die Unterstützung für die manuelle
Angabe eines Salzes wurde in PHP 8.0 entfernt.
</para>
</caution>
<note>
<para>
Es wird empfohlen, dass Sie diese Funktion auf Ihren Servern testen und
den Kostenparameter so anpassen, dass die Ausführung der Funktion weniger
als 350 Millisekunden auf interaktiven Systemen dauert. Das Skript im
obigen Beispiel wird hilft Ihnen, einen guten Kostenwert für Ihre Hardware
zu wählen.
</para>
</note>
<note>
<simpara>
Aktualisierungen der unterstützten Algorithmen durch diese Funktion (oder
Änderungen am Standardalgorithmus) müssen den folgenden Regeln folgen:
</simpara>
<para>
<itemizedlist>
<listitem>
<simpara>
Jeder neue Algorithmus muss für mindestens 1 Vollversion im Core von
PHP sein, bevor er zum Standard wird. Wenn also &zb; ein neuer
Algorithmus in 7.5.5 hinzugefügt wird, wäre er erst in 7.7 als Standard
geeignet (da 7.6 die erste Vollversion wäre). Wenn aber ein anderer
Algorithmus in 7.6.0 hinzugefügt würde, wäre auch dieser für die
Standardeinstellung in 7.7.0 freigegeben.
</simpara>
</listitem>
<listitem>
<simpara>
Die Voreinstellung sollte sich nur bei einer Vollversion (7.3.0, 8.0.0,
etc) ändern und nicht bei einer Korrekturversion. Die einzige Ausnahme
hiervon ist in einem Notfall, wenn eine kritische Sicherheitslücke in
der aktuellen Voreinstellung gefunden wurde.
</simpara>
</listitem>
</itemizedlist>
</para>
</note>
</refsect1>
<refsect1 role="seealso">
&reftitle.seealso;
<para>
<simplelist>
<member><function>password_verify</function></member>
<member><function>password_needs_rehash</function></member>
<member><function>crypt</function></member>
<member><function>sodium_crypto_pwhash_str</function></member>
</simplelist>
</para>
</refsect1>
</refentry>
<!-- Keep this comment at the end of the file
Local variables:
mode: sgml
sgml-omittag:t
sgml-shorttag:t
sgml-minimize-attributes:nil
sgml-always-quote-attributes:t
sgml-indent-step:1
sgml-indent-data:t
indent-tabs-mode:nil
sgml-parent-document:nil
sgml-default-dtd-file:"~/.phpdoc/manual.ced"
sgml-exposed-tags:nil
sgml-local-catalogs:nil
sgml-local-ecat-files:nil
End:
vim600: syn=xml fen fdm=syntax fdl=2 si
vim: et tw=78 syn=sgml
vi: ts=1 sw=1
-->