Hallo,
ich benutze die password_needs_rehash Funktion um Passwort-Hashes möglichst sicher in der User-Datenbank zu speichern.
Ich habe diese Funktion eigentlich so verstanden, dass Sie nur dann ein neuen Hash anlegt, wenn der alte Hash einem einfacheren Algorithmus entstammt.
Bei mir wird aber interessanter Weise jedes mal ein neuer Hash angelegt...
Das ist zwar irgendwie sicher, aber verhindert, dass ein Nutzer via Cookie (mit Hash-Information) auf zwei Browsern/Rechner eingeloggt sein kann.
Habe ich die Funktion falsch verstanden oder liegt der Fehler wo anders?
Danke
Flözen
ich benutze die password_needs_rehash Funktion um Passwort-Hashes möglichst sicher in der User-Datenbank zu speichern.
PHP-Code:
if (password_verify($pass, $dbpass)) {
if (password_needs_rehash($hash, PASSWORD_DEFAULT)) {
$hash = password_hash($pass, PASSWORD_DEFAULT);
// Speichere neues Hash in DB...
}
Bei mir wird aber interessanter Weise jedes mal ein neuer Hash angelegt...
Das ist zwar irgendwie sicher, aber verhindert, dass ein Nutzer via Cookie (mit Hash-Information) auf zwei Browsern/Rechner eingeloggt sein kann.
Habe ich die Funktion falsch verstanden oder liegt der Fehler wo anders?
Danke
Flözen
Kommentar