password_verify 本身不依赖 cost 参数实现恒定时间比较;它先复现原始哈希(使用嵌入在 hash 中的算法、salt 和 cost),再通过恒定时间字符串比较函数逐字节比对结果,从而消除因匹配长度差异导致的响应时间泄露。
`password_verify` 本身不依赖 cost 参数实现恒定时间比较;它先复现原始哈希(使用嵌入在 hash 中的算法、salt 和 cost),再通过恒定时间字符串比较函数逐字节比对结果,从而消除因匹配长度差异导致的响应时间泄露。
在 PHP 的密码安全实践中,password_verify() 是验证用户输入密码是否正确的关键函数。其安全性不仅体现在哈希强度上,更深层地依赖于抗侧信道攻击设计——尤其是对计时攻击(Timing Attack) 的主动防御。
核心机制:两阶段安全验证
password_verify($password, $hash) 的执行分为两个逻辑阶段:
哈希重计算(非恒定时间,但必要且安全)
函数首先解析 $hash 字符串(如 $2y$10$...),提取其中编码的算法标识(如 bcrypt)、cost 因子(如 10)和 salt。随后,它用完全相同的参数对 $password 执行一次完整的密码哈希运算。这一步耗时取决于 cost(例如 bcrypt 的 2¹⁰ 次迭代),并非恒定时间,但这是必需的、且不构成计时攻击面——因为攻击者无法控制或观测哈希计算内部的中间状态,且所有输入都需完成完整计算才能进入下一步。-
恒定时间字符串比较(防御计时攻击的关键)
得到新计算的哈希值后,password_verify 不使用常规的 == 或 hash_equals() 以外的普通字符串比较,而是调用底层 C 实现的恒定时间比较函数(PHP 内部等价于 hash_equals() 的语义)。该函数确保:- 无论两个哈希值在第几位开始不同,都强制遍历全部字节;
- 比较过程不包含早期退出(no short-circuiting);
- CPU 指令执行路径与数据内容无关(避免分支预测泄露)。
以下为简化示意(不可直接运行,仅说明原理):
// ❌ 危险:易受计时攻击的朴素比较(仅作对比)
function insecure_compare($a, $b) {
if (strlen($a) !== strlen($b)) return false;
for ($i = 0; $i < strlen($a); $i++) {
if ($a[$i] !== $b[$i]) return false; // 一旦发现不同立即返回 → 时间泄露
}
return true;
}
// ✅ 安全:恒定时间比较(PHP 内置 password_verify 已实现此逻辑)
if (hash_equals($expected_hash, $computed_hash)) {
// 验证通过
}⚠️ 注意事项:
- 不要自行实现哈希比较逻辑:即使使用 hash_equals(),也务必确保比较的是两个等长、已知安全的哈希值;若长度不等,应先做长度校验(但需注意:password_hash() 输出长度固定,故 password_verify() 可安全跳过此步)。
- cost 参数的作用被常见误解:cost 仅控制哈希计算的计算强度(如 bcrypt 迭代次数),不影响比较阶段的耗时。它提升的是离线暴力破解成本,而非在线验证的防侧信道能力。
- 始终使用 password_hash() / password_verify() 组合:二者协同工作,前者生成含元数据的自描述哈希,后者自动解析并安全验证,无需开发者手动处理 salt 或算法选择。
总结而言,password_verify 的抗计时攻击能力源于其解耦设计:将“可变耗时”的密码学计算(依赖 cost)与“严格恒定耗时”的二进制比较完全分离,并在后者中采用密码学安全的恒定时间原语。这一设计使攻击者无法通过测量验证响应时间来推断密码正确性或部分字节信息,是现代 Web 应用身份认证不可或缺的安全基石。
