使用php本机密码api与magento
使用php本机密码api与magento

使用php本机密码api与magento

2015年1月15日出版 in 发展
揭开洋洋嫩’S CollectTotals:发票和信用备忘录
2014年12月13日
通过持续的优化增强用户体验
通过持续的优化增强用户体验
2015年1月26日

概述

尽管业界努力,但是在Web应用程序中泄漏正在发生频率的增加。这些泄漏的具体含义是他们经常曝光客户密码信息,可能潜在地影响客户的账户,而不仅可以在泄漏发生而且可能是许多其他人的网站上,因为客户倾向于重用许多不同网站上的相同密码。

考虑到这一点,每个商家和开发人员都有责任来保护这些客户信息。

 

玛托托通过使用单向哈希使用业界标准模式来解决客户密码的安全性。此机制不提供直接从其哈希检索密码的方法 - 唯一确定的方式“unhash”哈希是蛮力(尝试每一个可能的值)。暴力强制希望昂贵且耗时,这确保了散列密码的安全性。

问题

玛托托密码散列的有效性在很大程度上依赖于散列算法的选择。目前,Community Edition 1.9.1.0使用MD5,Enterprise Edition 1.14.1.0使用SHA256。

虽然这些散列算法被广泛用于行业,但它们遭受核心设计缺陷,这使得它们 不适合保护信息.

根据 PHP密码哈希建议:

散列算法,如MD5,SHA1和SHA256的设计非常快,有效。拥有现代技术和计算机设备,它已经变得微不足道“brute force”这些算法的输出,以确定原始输入。

因为现代计算机的速度有多快“reverse”这些散列算法,许多安全专业人员强烈建议他们对密码散列的使用。

解决方案

考虑到有多少应用程序需要安全地存储密码,PHP提供了一个 本机密码散列和验证API。此API允许开发人员轻松存储和验证密码,而无需研究,重新实现,并维护真正安全所需的各种最佳实践细节。

此外,该本机API旨在随着时间的推移演变 - 作为发现更好的散列算法或发现其他最佳实践,它可以透明地改善其实现而不需要开发人员更新代码。

技术细节

随着其他最佳实践,如恒定时间串比较,独特的盐等,PHP本机密码API使用当前推荐的 Bcrypt. 散列算法。这被设计为随着时间的推移而改变,所以天然API产生的哈希字符串包括验证哈希的所有必需信息。

PHP本机密码API哈希字符串示例,来自 PHP密码散列常见问题.

具有细分的PHP本机API哈希字符串示例

因此,由本机API创建的哈希字符串始终与验证API的未来版本兼容。

自版本5.5.0以来,PHP本机密码散列API可用。另外,有一个 Pure PHP兼容性库 对于自5.3.7以来PHP的版本。由于一个 安全问题 在PHP版本5.3.6及以下,商家和开发人员应至少升级到5.3.7。

洋养碟实施

为了提高密码散列安全性,我创建了一个 PHP本机密码散列API Magento模块。该模块与Commerce Edition和Open Source Edition兼容,包括本机API兼容性库,使其与PHP版本5.3.7及更高版本兼容。

此模块添加了三个系统配置选项,可以在系统中找到 - > Configuration -> Customers ->客户配置 - > Password Options.

ew_nativepasswords系统配置选项的屏幕截图

  • 使用PHP本机密码散列:此设置基本上启用/禁用模块。为了“不伤害”,默认情况下,模块被禁用,所以 将此值设置为“是”至关重要 为了升级Magento密码散列。
  • 密码散列成本:高级用户可以根据服务器CPU负载的成本调整此值以提高密码散列安全性。默认值适用于几乎所有站点。
  • rehash遗留密码:此设置允许Magento升级使用传统散列算法创建的密码哈希。当客户或管理员使用不合适的哈希使用密码成功进行身份验证时,密码将使用本机API重新查询。为了“不伤害”,默认情况下禁用此功能,但应该将其设置为“是”开始追溯升级网站的密码哈希数据库。

在哪里得到它

该模块在GitHub上自由许可,可自由地提供: //github.com/ericthehacker/magento-phpnativepasswords.

可以使用modman轻松安装,如下所述 安装说明。如上所述,在安装后在系统配置中启用模块的功能是至关重要的。

一如既往地,欢迎问题或贡献!

发表评论

您的电子邮件地址不会被公开。 必需的地方已做标记 *

本网站使用AkisMet减少垃圾邮件。 了解如何处理评论数据.

最近的帖子查看全部
3月1日,2021年

Covid的巨大加速要求再次欺诈和消费者虐待警惕

2月3日,2021年

社交媒体在科迪德自然时期的增长’s One

1月5日,2021年

替代社交媒体

您是否注意到您的Facebook和Instagram内容似乎越来越少,并且每次通过都会越来越少?用于达到的帖子 […]