Проверить пароль, который хэшируется вне нашего контроля?
Внедрение службы, которая отправляет идентификатор пользователя и пароль, хэшированный по MDG, на мой сервер для проверки.
Мы храним пароли хэшей, которые генерируются с помощью функции password_hash () в PHP> 5.5.
Есть ли способ проверить хэш MD5 и наш хэш указывают на один и тот же пароль?
Обычно пароль будет отправлен нам через форму входа в систему, и мы проверим это с помощью password_verify (), но без пароля в виде обычного текста я немного растерялся.
Решение
Как правило, пароль будет отправлен нам через форму входа, и мы
проверил бы с password_verify (), но без пароля в обычном
текст я в растерянности
Пока вы используете безопасный транспорт (SSL), это не будет проблемой. Это стандартный способ сделать это. В противном случае вам нужно реализовать механизм хеширования, используемый password_hash () в вашем клиенте. Это не улучшит вашу систему безопасности. Это все еще подвержено переиграть атаки.
Кроме того, вы должны держаться подальше от MD5, потому что оно сломано.
Другие решения
Вы не можете расшифровать это. Но если вы можете изменить механизм генерации пароля, вы можете обратиться к этому сообщение