使用PHPass生成相同的密码哈希

Question

我正在将一个网站从Wordpress转换成一个用Codeigniter开发的自定义CMS。我被告知Wordpress使用PHPass来散列他们的密码，所以我使用PHPass库(如this site所述)，试图无缝地转换用户，而不需要重新设置或更改他们的密码。

我让它在我的应用程序中工作得很好，但它不会生成与Wordpress使用的相同的密码哈希。我假设它与某种网站密钥有关，但我没有任何运气。如何让PHPass生成相同的密码哈希？

Answer 1

有几种可能性。他们要么使用不同的散列算法，要么对散列加盐，或者其他一些混淆方法。如果Wordpress对其散列加盐，那么您必须访问他们的盐表或单个salt短语才能更改它们的散列--但我怀疑您是否能做到这一点。我验证了PHPass确实支持加盐以及其他散列混淆方法，因此其中之一可能是散列结果不一致的原因。

http://www.openwall.com/articles/PHP-Users-Passwords

Answer 2

你不能让PHPass生成两次相同的散列--它使用一个随机的盐。该盐存储在密码散列中。

不过，您并不需要生成相同的散列--复制旧散列，并使用PHPass的CheckPassword($pass，$hash)来检查密码。将数据库中的哈希值设置为$hash，将输入的密码设置为$pass，如果匹配，则返回true。

HashPassword()方法仅用于创建新密码散列(用于新密码)，而不用于与现有密码进行比较。