質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

88.03%

異なる環境で作成したパスワードハッシュが一致しない

解決済

回答 5

投稿

  • 評価
  • クリップ 3
  • VIEW 2,920

score 36

password_hashを使いハッシュ化したパスワードの認証で失敗しています。

構成上、パスワードのハッシュ化はサーバー群(A)にて行っており、そこでpassword_hashを使いハッシュ化したデータを別なサーバー群(B)に引き渡し、サーバー群(B)でpassword_verifyを使い検証しています。

しかし、同一サーバー上でハッシュ化および検証を行う場合は正常に動作しますが、異なるサーバ上で検証を行うと一致しません。

サーバー群(A)で行うハッシュ化は以下のとおりです。
※実際の$passwordStringは別な画面で入力されたものをユーザー毎に使用します

$passwordString = "password";
$passwordHash = password_hash($passwordString, PASSWORD_DEFAULT);

上記の$passwordHashをユーザー毎にサーバー群(B)に引き渡し、その後以下のように検証しています。
※実際の$_POST['password']はサーバー群(B)ロのグイン画面で入力されたものを使用します

$inputPasswordString = $_POST['password'];
if(!password_verify($inputPasswordString, $passwordHash)){
    throw new Exception("password error.");
}

念のため、元のパスワード文字列と、ハッシュ化文字列をソース上に記述し検証しましたが、やはり異なる環境でハッシュ化されたものは、別サーバー上では検証に失敗しております。

password_hash及びpassword_verifyは同一環境上でなければ一致しないものなのでしょうか。
ドキュメントを読む限りはハッシュ化された情報上にsaltや暗号化ロジックを含み情報が入っており、環境に依存せず利用できるとの認識です。

なお、サーバー群(A)はPHP7系ですが、サーバー群(B)はPHP5系です。
これが影響しているのでしょうか?

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 過去に投稿した質問と同じ内容の質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

質問への追記・修正、ベストアンサー選択の依頼

  • ockeghem

    2017/07/07 11:41

    検証してみたいので、各サーバーのPHPバージョンを正確に教えてください。また、password_hash等は外部ライブラリではなく、PHPの組み込み関数を使っていますか?

    キャンセル

回答 5

+5

試みに、PHP 7.1.0で作成したハッシュ値をPHP 5.5.0 で検証してみましたが、ちゃんと動作するようです。もう少し詳細の情報がないと、原因の推測が難しいと思います。

$ cat password_hash.php
<?php
echo password_hash('password', PASSWORD_DEFAULT)."\n";

$ php-7.1.0 password_hash.php
$2y$10$CvWY6c9LYp4W4LOSvHdha.6WscTK4qnnSyiV/4dUnyAa4Vkvyupxa

$ cat password_verify.php
<?php
$hash = '$2y$10$CvWY6c9LYp4W4LOSvHdha.6WscTK4qnnSyiV/4dUnyAa4Vkvyupxa';
var_dump(password_verify('password', $hash));

$ php-5.5.0 password_verify.php
bool(true)

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+3

環境に依存せず利用できるとの認識です。

本来はそのとおりのはずです。
手元のPHP5.6(Linux)で暗号化→7.1(Windows)で復号を試してみましたが問題なく動作しました。
考えられる要因としては以下のようなものが思いつきます。

・サーバー群Aで使ったPASSWORD_DEFAULTアルゴリズムがサーバー群Bに[入っていない | PHPから参照できない]
・サーバー群Aが実はPHP5.4以下で、password_hash()が似て非なる関数である
・「サーバー群Bに引き渡す」あたりでエスケープかカラム長制限か何かで元とは別の文字列になっている

PHP5系および7系の詳細なバージョンとPASSWORD_DEFAULTの値、
"password"をサーバー群Aおよびサーバー群Bで暗号化した結果を
ここに書いてもらえると確認しやすいです。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

+2

マニュアルのpassword_hashから、定義済み定数の所を見ると分かると思いますが、「PHP のバージョンが上がるときに、 その時点でより強力なハッシュアルゴリズムに対応していればデフォルトが変わる可能性があります。」と書いてあります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/07/07 21:18 編集

    PASSWORD_DEFAULTは暗号化アルゴリズムのことであり、復号は暗号化に利用したアルゴリズムが自動的に使用されます。
    PASSWORD_DEFAULTが変わったとしても復号には(普通は)影響ありません。

    キャンセル

+1

<del>password_xxx 系の関数は php version 5.3 で動作が変わる様な変更が行われた様です。</del>

https://github.com/ircmaxell/password_compat

互換性のあるライブラリを提供してくれている人がいるのでこちらを使ってみてはどうでしょうか。

投稿

編集

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2017/07/07 21:17

    「php version 5.3 で動作が変わる様な変更が行われた」という事実は存在しません。
    password_hash()はPHP5.5で実装されたものです。

    キャンセル

  • 2017/07/07 22:02

    http://php.net/security/crypt_blowfish.php

    password_xxx じゃなく $2a$ もしくは $2y$ の方でした。

    キャンセル

check解決した方法

0

皆様多数のご助言・ご指摘ありがとうございます。

その後、ご助言いただいた指摘を確認しつつ、自分でも幾つか作業していて原因を特定いたしました。
原因は最初の検証時に作成したサンプルでハッシュをダブルクォートで括っていたことです。

自分でも「これは・・・」というミスでした。

後の為に理由をあえて書いておきますと、当然ですが、ダブルクォート内では変数展開が行われます。
つまり「$」で始まる部分は変数であると解釈され、結果として関数に渡される値(この場合はハッシュ)がもともとの文字列とは異なるものになっているという事です。

※と理解していますが、間違ってる場合はご指摘いただけると助かります

当然の事ではあるのですが、検証結果を以下のとおり記載します。

<?php

$inputString   = 'password';
$passwordHashA = '$2y$10$Bkl2eTHc0X.5oi0Lzm1S4eOqp2HMO.5qSzfHp23hHnmVOjCJOM7em';
$passwordHashB = "$2y$10$Bkl2eTHc0X.5oi0Lzm1S4eOqp2HMO.5qSzfHp23hHnmVOjCJOM7em";

if(password_verify($inputString, $passwordHashA)){
    echo "[A] Password Match";
}else{
    echo "[A] Password Not Match";
}

if(password_verify($inputString, $passwordHashB)){
    echo "[B] Password Match";
}else{
    echo "[B] Password Not Match";
}

/*

[A] Password Match
[B] Password Not Match

*/

無意識的とはいえ致命的なミスでした。

なお、password_verifyによる差異についてもrana_kualu様ご指摘のように、そもそも影響はしない事を私の操作した範囲では確認しています。
この部分は当初投稿の文中に記載しているように、ハッシュ化された情報上にsaltや暗号化ロジックを含み情報が入っている為、仮に優先されるアルゴリズムが変更されたとしても検証結果に影響を及ぼす事はありません。

私のお粗末なミスで大変お騒がせしました。

ご助言・ご指摘いただきました皆様本当にありがとうございました。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 88.03%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる

関連した質問

同じタグがついた質問を見る