BCrypt 해시를 Bcrypt 해시와 비교 PHP

Question

여기에 대해 내가 옳다.

내 사이트의 암호로 보호 된 페이지와 통신하는 iPhone 용 앱이 있습니다. 응용 프로그램은 암호 보호를 통해 잘 얻을 수 있으며 페이지에서 응답을 얻을 수 있습니다. 문제는 내 앱에서 사이트에 로그인하려고하면 거부된다는 것입니다. 내가 사이트에 그것을 보내기 전에 응용 프로그램에서 Bcrypt와 암호를 해싱하고 있기 때문에 이것은 물론 password_verify()으로 확인하기 때문에 이것은 믿습니다. 물론 암호의 일반 텍스트와 해시 된 버전이 필요합니다.하지만 두 가지를 제공합니다. 그것이 받아들이지 않는 동일한 것의 해시 된 버전.

제 질문은 : password_verify 또는 다른 기능을 사용하여 두 개의 암호화 된 암호를 비교할 수 있습니까? 그리고 그렇지 않다면 암호를 응용 프로그램에서 일반 텍스트로 보내려면 충분히 안전할까요?

미리 감사드립니다.

Answer 1

두 개의 암호화 된 암호를 password_verify 또는 다른 기능을 사용하여 비교할 수 있습니까?

번호 password_verify는 일반 텍스트 비밀번호와 비밀번호 입력으로 포함 된 소금 암호의 이전 해시 양식을 필요로하고있는 방법은 주위에 없다. 알고리즘은 동일한 해시를 생성하기 위해 다시 소금을 필요로하므로 다른 옵션은 해시/소금을 클라이언트로 전송하여 알고리즘을 복제하는 것입니다. 그러나 신뢰할 수없는 클라이언트가 아닌 서버에서 암호 확인을 수행하기 때문에 무의미합니다.

만약 그렇지 않다면, 앱에서 평문으로 패스워드를 보내면 충분히 안전할까요?

통신 채널이 안전한 경우, 이는 SSL 연결을 의미합니다.