임의의 소금으로 암호 확인

Question

나는 mysql DB를 사용하여 사용자 테이블에 저장된 해시 및 소금에 대해 배우려고 노력하고 있습니다. 나는 그들을 저장하는 것으로 끝났지 만 사용자가 로그인 할 때 유효성을 검사하는 방법에 대해 머리를 감싸는 것처럼 보일 수는 없습니다.
소금과 해시를 별도로 저장하는 방법을 살펴 보았습니다. 제가 생산하는 소금은 무작위입니다.

아이디어가 있으십니까?
코드를 게시했습니다.

<?php 
$password = 'passwordwhatever'; 

//generate the salt 
function gen_salt() { 
    $salt = uniqid(mt_rand(), true) . sha1(uniqid(mt_rand(), true)); 
    $salt = crypt('sha512', $salt); 
    return $salt; 
} 

//generate the hash 
function gen_hash($salt, $password) { 
    $hash = $salt . $password; 
    for($i = 0; $i < 100000; $i++) { 
     $hash = crypt('sha512', $hash); 
    } 

    $hash = $salt . $hash; 
    return $hash; 
} 

$password = gen_hash(gen_salt(), $password); 
echo $password; 

?> 

Answer 1

소금은 데이터베이스 (또는 어딘가에) 어딘가에 포함될 필요가 있습니다. 일부 옵션은 해시에 소금을 추가하거나 자체 필드로 저장하는 것입니다. 해시에 추가하는 것이 좋습니다. 사용자가 로그인을 갈 때

$password = $salt . '.' . $hash; 

그런 다음, 당신은 자신의 암호를 잡아 해시와 소금으로 휴식 및 결정 (대신 임의의 소금의 암호에서 소금) 비밀번호 생성 기능을 사용 db의 암호와 일치하는 경우

list($salt,$hash) = explode('.', $password); 
$check = gen_hash($salt, $input_pass); 
if ($check === $password) 
    // valid 

Answer 2

동일한 소금을 생산하는 한 너무 중요하지 않습니다. 당신이 그것에 도착할 수있는 한, 윤곽에서 당신의 db에서 그것을 저장하십시오. SHA512 해시를 되 돌리려는 노력은 당신이 국방성이 아니라면 아무도 귀찮게하지 않을 것입니다. 요점은 동일한 소금으로 해시를 반복 할 수 있기를 원하므로 중요한 입력을 저장하지 않아도 입력 내용이 동일하다는 것을 확신 할 수 있습니다. 그 말이 맞는다면.

Answer 3

아마도 bcrypt을 살펴 봐야 할 것입니다. This가 도움이됩니다. 나는 약간의 tutorials를 썼다. 그러나 그들은 독일에있다. 오, PHP 5.3은 기본적으로 bcrypt를 지원합니다.