目前,据说MD5部分不安全。考虑到这一点,我想知道使用哪种机制进行密码保护。
这个问题,“双重哈希”密码是否比仅哈希一次密码安全? 建议多次散列可能是一个好主意,而如何对单个文件实施密码保护?建议使用盐。
我正在使用PHP。我想要一个安全,快速的密码加密系统。将密码哈希一百万次可能更安全,但也更慢。如何在速度和安全性之间取得良好的平衡?另外,我希望结果具有恒定数量的字符。
如果我不够清楚,我想知道要使用哪个哈希函数以及如何选择合适的盐,以便拥有安全快速的密码保护机制。
TL; DR
不要
不要限制用户可以输入哪些字符作为密码。只有白痴这样做。
不要限制密码的长度。如果您的用户想要一个句子,其中包含超级标语易用性,请不要阻止他们使用它。
不要在密码中剥离或转义HTML和特殊字符。
切勿将用户密码以纯文本格式存储。
除非用户丢失了密码,否则切勿将密码通过电子邮件发送给您的用户,而是您发送了一个临时密码。
永远不要以任何方式记录密码。
切勿使用SHA1或MD5甚至SHA256 哈希密码!现代饼干可以分别超过60和1800亿个哈希/秒。
不要将bcrypt与hash()的原始输出混合使用,请使用十六进制输出或base64_encode对其进行编码。(这适用于其中可能有恶意的任何输入\0,这会严重削弱安全性。)
多斯
尽可能使用scrypt;如果不能,请使用bcrypt。
如果不能使用带有SHA2散列的bcrypt或scrypt,请使用PBKDF2。
数据库受到威胁时,请重置每个人的密码。
实现合理的8-10个字符的最小长度,并要求至少1个大写字母,1个小写字母,一个数字和一个符号。这将改善密码的熵,从而使其更难以破解。(有关一些辩论,请参见“什么才是好的密码?”部分。)
为什么仍要哈希密码?
哈希密码的目的很简单:通过破坏数据库来防止对用户帐户的恶意访问。因此,密码散列的目的是通过花费大量时间或金钱来计算纯文本密码,从而阻止黑客或黑客。时间/成本是您武器库中最好的威慑力量。
您想要对用户帐户进行良好而可靠的哈希处理的另一个原因是,给您足够的时间来更改系统中的所有密码。如果您的数据库遭到破坏,您将需要足够的时间至少锁定系统,如果不更改数据库中的每个密码。
Whitehat Security的首席技术官Jeremiah Grossman 在最近的密码恢复后要求在蛮力破解其密码保护之后,在White Hat Security博客上表示:
有趣的是,在摆脱这场噩梦的过程中,我学到了很多我不知道的有关密码破解,存储和复杂性的信息。我已经明白了为什么密码存储比密码复杂性如此重要。如果您不知道密码的存储方式,那么您真正可以依靠的只是复杂性。这可能是密码和加密专家的常识,但是对于一般的InfoSec或Web安全专家而言,我对此表示高度怀疑。
(强调我的。)
无论如何,什么才是好的密码?
熵。(并不是我完全同意兰德尔的观点。)
简而言之,熵就是密码中的变化量。当密码仅是小写罗马字母时,则只有26个字符。差异不大。字母数字密码最好使用36个字符。但是允许带有符号的大写和小写字母大约是96个字符。这比仅字母要好得多。一个问题是,为了使密码易于记忆,我们插入了模式-从而减少了熵。糟糕!
密码熵近似容易。使用全部范围的ascii字符(大约96个可键入字符),每个字符的熵为6.6,而对于8个字符的密码,它的熵仍然太低(熵的52.679位),对于将来的安全性而言太低了。但好消息是:更长的密码以及带有unicode字符的密码,确实增加了密码的熵并使其更难以破解。
在Crypto StackExchange站点上,关于密码熵的讨论已有较长的讨论。优质的Google搜索也会带来很多结果。
在我与@popnoodles交谈的评论中,他指出强制 X长度为X的密码策略包含X个字母,数字,符号等,实际上可以通过使密码方案更可预测来减少熵。我同意。随机性,尽可能真正地随机性,始终是最安全但最难忘的解决方案。
据我所知,制作世界上最好的密码是Catch-22。它不是令人难忘,太可预测,太短,太多的Unicode字符(在Windows /移动设备上很难键入),太长的时间等等。没有密码能够真正满足我们的目的,因此我们必须像保护密码一样保护它们在诺克斯堡。
最佳实践
Bcrypt和scrypt是当前的最佳实践。Scrypt在时间上会比bcrypt更好,但是它尚未被Linux / Unix或Web服务器视为采用标准,并且尚未对其算法进行深入审查。但是,该算法的未来看起来确实很有希望。如果您正在使用Ruby,那么有一个scrypt gem可以为您提供帮助,而Node.js现在拥有自己的scrypt包。您可以通过Scrypt扩展名或Libsodium扩展名(在PECL中都可用)在PHP中使用Scrypt 。
我强烈建议您阅读crypt函数的文档,如果您想了解如何使用bcrypt,或者为自己找到一个好的 包装器,或者将类似PHPASS的东西用于更传统的实现。我建议至少12轮bcrypt,如果不是15到18。
当我得知bcrypt仅使用河豚鱼的密钥计划以及可变成本机制时,我改变了主意。后者使您可以通过增加河豚已经昂贵的密钥计划来增加暴力破解密码的成本。
一般做法
我几乎无法想象这种情况了。PHPASS支持PHP 3.0.18到5.3,因此几乎可以在所有可以想到的安装中使用它-如果不确定您的环境是否支持bcrypt ,则应使用它。
但是,假设您根本无法使用bcrypt或PHPASS。然后怎样呢?
尝试以您的环境/应用程序/用户感知可以容忍的最大回合数来实现PDKBF2。我建议的最低数量是2500发。另外,请确保使用hash_hmac()(如果可用)以使操作难以重现。
未来实践
PHP 5.5中引入了一个完整的密码保护库,该库抽象了使用bcrypt的所有麻烦。尽管我们大多数人在最常见的环境(尤其是共享主机)中都坚持使用PHP 5.2和5.3,但@ircmaxell 为即将到来的API 构建了一个兼容层,该层向后兼容PHP 5.3.7。
密码学回顾与免责声明
实际破解散列密码所需的计算能力不存在。计算机“破解”密码的唯一方法是重新创建密码并模拟用于保护密码的哈希算法。哈希的速度与其被强行使用的能力成线性关系。更糟糕的是,大多数哈希算法可以很容易地并行化以更快地执行。这就是为什么像bcrypt和scrypt这样的昂贵方案如此重要的原因。
你不可能预见攻击的所有威胁或途径,所以你必须保护用户你最大的努力了前面。如果您不这样做,那么您甚至可能会错过被攻击的事实,直到为时已晚… 而您负有责任。为了避免这种情况,首先要采取偏执的态度。(内部)攻击您自己的软件,并尝试窃取用户凭据,或修改其他用户的帐户或访问其数据。如果您不测试系统的安全性,那么您就不能怪任何人。
最后:我不是密码学家。我所说的只是我的看法,但我碰巧认为这是基于良好的常识……以及大量的阅读资料。请记住,要尽可能地偏执,使事情难以侵入,然后,如果您仍然担心,请联系白帽黑客或密码专家,以了解他们对您的代码/系统的看法。
多亏了最近一篇文章中的一些好建议,我才从中实现了PBKDF2https://defuse.ca/php-pbkdf2.htm进入一个小的PHP图像库,我正在建设教自己一些PHP。 我知道您将salt和hash存储在数据库中,然后在用户输入密码时重新构建它们以匹配。我不明白的是,当上面网站上的validate_password函数为同一个密码生成不同的、唯一的salt时,它是如何工作的。 例如,我创
我记得读过一个方案,其中检查密码的过程是这样的: 给定数据库中的(哈希、盐)值, 用salt哈希密码以检查哈希, 使用旧哈希作为salt的哈希密码, 在数据库中存储(新哈希,也称为旧哈希) 我找不到原始来源无论如何,我不明白 > < li> 使用旧哈希作为salt的优势是什么(与使用随机salt相反), 这种方案的优点是什么(进一步使彩虹表攻击复杂化?),以及 如果有优势,如何使用PHPass应用
我认为我理解散列和加盐密码,但似乎我有一些误解。我在nodejs为我的网站创建一个用户帐户系统。 我的理解是,当用户创建密码时,我们会生成一个随机盐,将其附加到密码中,然后散列该字符串。我们还可以添加一个工作因子以使散列工作缓慢并防御蛮力攻击。我们将盐与散列一起存储在我们的数据库中,为了验证登录尝试,我们使用存储的盐和尝试的密码重复上述过程(在服务器上),并检查散列是否匹配。 nodejs中的模块
我正在为Web应用程序制作登录系统。要将密码存储在数据库中,我正在使用sha256加密密码,如下所示: 在数据库中,我存储了用户、用户密码和用于散列和验证用户登录的salt。现在,我正在向用户发送包含您的密码的电子邮件,但是当用户收到电子邮件时,由于存储在sha256加密密码中,用户收到的是一个长字符串,而不是用户应该知道的密码。 我的问题是,我可以通过任何方法向您发送实际的用户密码和非密码加密,
保安。今天,任何应用程序如果没有适当的安全性编程--无论是由开发人员使用的框架,还是由开发人员自己编程--都无法在internet上生存。我目前正在开发一个使用承载令牌身份验证的RESTful API,但一直在阅读有关XSS和CSRF攻击的内容。 问题1)从我所读到的内容中,我看到使用基于令牌的身份验证的RESTful API的应用程序容易受到XSS而不是CSRF的攻击,如果令牌存储在浏览器的Lo
问题内容: 我正在建立一个网站,并试图决定如何加密用户密码以将其存储在SQL数据库中。 我意识到使用简单的md5(password)是非常不安全的。我正在考虑使用sha512(password.salt),并且我一直在研究生成有用盐的最佳方法。我阅读了许多文章,指出盐应尽可能地随机以增加哈希值的熵,这似乎是个好主意。但: 您需要将随机盐与哈希一起存储 鉴于攻击者以某种方式可以访问您的哈希密码(并试