Christian Kruse: Es! Ist! Unsicher!

Beitrag lesen

Hallo Spaßvogel,

Doch, die herrscht. Die PHP-API unterstützt nur bcrypt, bei dem die grundlegenden Probleme des Passwort-Hashings nicht behoben werden: bcrypt ist durch FPGAs und ASICS implementierbar, womit die Verarbeitungsgeschwindigkeit massiv steigt.

Mag sein, dass es Fortschritte gibt. Aber dank password_needs_rehash() kann man automatisch und ohne manuelles Zutun feststellen, ob der Hash der derzeit beste (implementierte) ist und das (soeben richtig eingegebene) Passwort neu hashen.

Ja. Ich habe da nicht widersprochen und mehrfach erwähnt, dass man diese API verwenden sollte. Was ich kritisiert habe war die Aussage, es herrsche keine Not.

LG,
CK