✔ Hashfunktion

[Registrierer]

Kann man feststellen, ob ein Hash mit md5 oder crypt erstellt worden ist?

Hintergrund: Ich möchte beim Anmelden an eine Anwendung prüfen, ob vom Benutzerpasswort noch der alte Hash vom Passwort (md5) existiert, damit ich den weiteren Verlauf der Anwendung steuern kann und vom Passwort ein neuer Hash mit crypt erstellt wird..

Ich hab dazu leider gar nichts gefunden.
Das einzige was ich feststellen konnte ist, das der Hash aus md5 offensichtlich immer 32 Zeichen hat.

 

[Bratkartoffel]

Hi,

prüfe bei der Anmeldung ob md5($eingabe) == $hashInDb ist. Wenn ja, dann ist der Hash ein alter md5-Hash.
Soweit ich weiß hat ein crypt() Hash aber auch einen Salt mit dabei, dieser ist mit einem $ vom eigentlichen Hash getrennt. (=> Sobald in $ Zeichen vorkommt ist das ein crypt()-Hash, md5 beinhaltet nur rein a-f und 0-9)

Grüße,
BK

 

[ComFreek]

Du solltest lieber password_hash() benutzen: http://php.net/manual/de/function.password-hash.php

crypt() nutzt unter Umständen noch den veralteten DES-Algorithmus.

@Bratkartoffel

md5($eingabe) == $hashInDb

Besser wäre es, hash_equals() bzw. password_verify() zu nutzen, um Timing Attacks entgegenzuwirken. Wobei dieses Sicherheitsrisiko wahrscheinlich viel kleiner als MD5 ist

 

[Registrierer]

@BK
Vielen Dank, diese Variante hatte ich natürlich schon in Betracht gezogen. Dachte es gibt was besseres ;-)

@CF
Recht hat Er!
Ich benutze zum Entwickeln XP + Xampp, da ist bei PHP/5.4.31 schluss und ich war bisher zu faul auf PHP/5.5.? zu aktualisieren.
Jetzt hab ich einen Grund...

 

[ComFreek]

Siehe https://github.com/ircmaxell/password_compat für eine Kombatibilitätsbibliothek.

Natürlich solltest du es auf jeden Fall vorziehen, die PHP-Version selbst zu aktualisieren

 

[Registrierer]

Was es nicht alles gibt (Kopfschüttel) ;-)
Ich ziehe letzteres vor, trotzdem vielen Dank!