[PHP] Blowfish crypt met salt van 21 lang

dinsdag 25 maart 2014 13:30

Acties:

0 Henk 'm!

Topicstarter

Ik heb de volgende testcode:

PHP:

<?

$seed = './ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789';

$pass = 'test';

$hashprefix = '$2y$10$qwertyuiopasdfghjklzx';

$hash = crypt($pass, $hashprefix);
$check = crypt($pass, $hash) === $hash;

echo "Hash: $hash\n";
echo "Check: " . ($check ? 1 : 0) . "\n";

Hierbij is de hash (qwertyuiopasdfghjklzx) 21 letters lang. Het resultaat van de check is FALSE. Bij elke andere lengte is deze TRUE.

Ik verwachtte bij de crypt functie elke lengte salt in te kunnen voeren, alle lengte die ik probeer werkt wel goed, behalve 21. (te korte worden aangevuld, te lange worden ingekort).

Heeft iemand een idee hoe dit zit? Het is natuurlijk op te lossen door een salt van niet-21 letters te selecteren, maar ik vind het vreemd.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

dinsdag 25 maart 2014 13:49

Acties:

0 Henk 'm!

Barryvdh

Heb je gezocht op google? Zoeken naar 'crypt 21 characters php' geeft als eerste 2 hits:
http://security.stackexch...t-as-it-would-be-too-long en http://stackoverflow.com/...ish-produces-weird-output

Maar ga niet zelf salts zitten maken, gebruik de password api (met password_hash, of https://github.com/ircmaxell/password_compat totdat dat beschikbaar is op je php versie) (Toevallig beiden van dezelfde persoon als degene die antwoord geeft in de 2de link)

[ Voor 8% gewijzigd door Barryvdh op 25-03-2014 13:50 ]

dinsdag 25 maart 2014 14:33

Acties:

0 Henk 'm!

Keiichi

Topicstarter

Ik denk het ongeveer te begrijpen.

Wat ik dan vervolgens niet begrijp, is waarom PHP niet met flinke errors op de proppen komt als er iets niet juist zit. Heb hetzelfde onder php geprobeerd ( http://www.perlmonks.org/?node_id=731919 ) en daar worden geen fouten in de salt/methode toegelaten.

Solar @ Dongen: http://solar.searchy.net/ - Penpal International: http://ppi.searchy.net/

dinsdag 25 maart 2014 14:43

Acties: