国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

Tags：應(yīng)用安全(1006)安全密碼(6)存儲用戶(3)　　

　　大年夜大都的web開辟者城市碰著設(shè)計用戶賬號系統(tǒng)的需求。賬號系統(tǒng)最首要的一個方面就是若何呵護用戶的暗碼。一些大公司的用戶數(shù)據(jù)庫泄漏事務(wù)也時有產(chǎn)生，所以我們必需采納一些辦法來呵護用戶的暗碼，即便網(wǎng)站被攻破的環(huán)境下也不會造成較大年夜的風(fēng)險。假定你還在存儲用戶暗碼的MD5,那可真的有點弱了。趕快來看看這篇文章吧。

　　呵護暗碼最好的的編制就是利用帶鹽的暗碼hash(salted password hashing).對暗碼進行hash把持是一件很簡單的工作，可是良多人都犯了錯。接下來我?？纯梢跃唧w的闡述若何得當(dāng)?shù)膶Π荡a進行hash，和為甚么要如許做。

　　首要提示

　　假定你籌算本身寫一段代碼來進行暗碼hash，那么趕快停下吧。如許太等閑犯錯了。這個提示合用于每小我，不要本身寫暗碼的hash算法 !關(guān)于保留暗碼的標(biāo)題問題已有了成熟的方案，那就是利用phpass或本文供給的源碼。

　　甚么是hash

　　hash("hello") = 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824

　　hash("hbllo") = 58756879c05c68dfac9866712fad6a93f8146f337a69afe7dd238f3364946366

　　hash("waltz") = c0e81794384491161f1777c232bc6bd9ec38f616560b120fda8e90f383853542

　　Hash算法是一種單向的函數(shù)。它可以把肆意數(shù)量標(biāo)數(shù)據(jù)轉(zhuǎn)換成固定長度的“指紋”，這個過程是不成逆的。并且只要輸進產(chǎn)生改變，哪怕只有一個bit，輸出的hash值也會有很大年夜不合。這類特點剛好合合用來用來保留暗碼。因為我們?？蠢靡环N不成逆的算法來加密保留的暗碼，同時又需要在用戶登岸的時辰驗證暗碼是不是準(zhǔn)確。

　　在一個利用hash的賬號系統(tǒng)中，用戶注冊和認證的大年夜致流程以下：

　　1, 用戶成立本身的賬號

　　2, 用戶暗碼顛末hash把持以后存儲在數(shù)據(jù)庫中。沒有任何明文的暗碼存儲在辦事器的硬盤上。

　　3, 用戶登岸的時辰，將用戶輸進的暗碼進行hash把持后與數(shù)據(jù)庫里保留的暗碼hash值進行對比。

　　4, 假定hash值完全一樣，則覺得用戶輸進的暗碼是準(zhǔn)確的。不然就覺得用戶輸進了無效的暗碼。

　　5, 每次用戶測驗測驗登岸的時辰就反復(fù)步調(diào)3和步調(diào)4。

　　在步調(diào)4的時辰不要奉告用戶是賬號仍是暗碼錯了。只需要顯示一個通用的提示，好比賬號或暗碼不準(zhǔn)確便可以了。如許可以避免報復(fù)打擊者列舉有效的用戶名。

　　還需要寄望的是用來呵護暗碼的hash函數(shù)跟數(shù)據(jù)布局課上見過的hash函數(shù)不完全一樣。好比實現(xiàn)hash表的hash函數(shù)設(shè)計的目標(biāo)是快速，可是不敷安然。只有加密hash函數(shù)(cryptographic hash functions)可以用來進行暗碼的hash。如許的函數(shù)有SHA256, SHA512, RipeMD, WHIRLPOOL等。

　　一個常見的不雅念就是暗碼顛末hash以后存儲就安然了。這明顯是不準(zhǔn)確的。有良多編制可以快速的從hash恢復(fù)明文的暗碼。還記得那些md5破解網(wǎng)站吧，只需要提交一個hash，不到一秒鐘就可以知道成果。明顯，純真的對暗碼進行hash仍是遠遠達不到我們的安然需求。下一部門先會商一下破解暗碼hash，獲得明文常見的手段。

　　若何破解hash

　　字典和暴力破解報復(fù)打擊(Dictionary and Brute Force Attacks)

　　最多見的破解hash手段就是猜想暗碼。然后對每個可能的暗碼進行hash，對比需要破解的hash和猜想的暗碼hash值，假定兩個值一樣，那么之前猜想的暗碼就是準(zhǔn)確的暗碼明文。猜想暗碼報復(fù)打擊常常利用的編制就是字典報復(fù)打擊和暴力報復(fù)打擊。

　　Dictionary Attack

　　Trying apple : failed

　　Trying blueberry : failed

　　Trying justinbeiber : failed

　　...

　　Trying letmein : failed

　　Trying s3cr3t : success!

　　字典報復(fù)打擊是將常常利用的暗碼，單詞，短語和其他可能用來做暗碼的字符串放到一個文件中，然后對文件中的每個詞進行hash，將這些hash與需要破解的暗碼hash比較。這類編制的成功率取決于暗碼字典的大年夜小和字典的是不是合適。

　　Brute Force Attack

　　Trying aaaa : failed

　　Trying aaab : failed

　　Trying aaac : failed

　　...

　　Trying acdb : failed

　　Trying acdc : success!

　　暴力報復(fù)打擊就是對給定的暗碼長度，測驗測驗每種可能的字符組合。這類編制需要破鈔大年夜量的計較機時候?？墒抢碚撋现灰獣r候足夠，最后暗碼必然可以或許破解出來。只是假定暗碼太長，破解破鈔的時候就會大年夜到?jīng)]法承受。

　　今朝沒有編制可以禁止字典報復(fù)打擊和暴力報復(fù)打擊。只能想編制讓它們變的低效。假定你的暗碼hash系統(tǒng)設(shè)計的是安然的，那么破解hash獨一的編制就是進行字典或暴力報復(fù)打擊了。

　　查表破解(Lookup Tables)

　　對特定的hash類型，假定需要破解大年夜量hash的話，查表是一種很是有效并且快速的編制。它的理念就是預(yù)先計較(pre-compute)出暗碼字典中每個暗碼的hash。然后把hash和對應(yīng)的暗碼保留在一個表里。一個設(shè)計杰出的查詢表布局，即便存儲了數(shù)十億個hash，每秒鐘仍然可以查詢成百上千個hash。

　　假定你想感觸感染下查表破解hash的話可以測驗測驗一下在CraskStation上破解下下面的sha256 hash。

　　c11083b4b0a7743af748c85d343dfee9fbb8b2576c05f3a7f0d632b0926aadfc

　　08eac03b80adc33dc7d8fbe44b7c7b05d3a2c511166bdb43fcb710b03ba919e7

　　e4ba5cbd251c98e6cd1c23f126a3b81d8d8328abc95387229850952b3ef9f904

　　5206b8b8a996cf5320cb12ca91c7b790fba9f030408efe83ebb83548dc3007bd

　　反向查表破解(Reverse Lookup Tables)

　　Searching for hash(apple) in users' hash list... : Matches [alice3, 0bob0, charles8]

　　Searching for hash(blueberry) in users' hash list... : Matches [usr10101, timmy, john91]

　　Searching for hash(letmein) in users' hash list... : Matches [wilson10, dragonslayerX, joe1984]

　　Searching for hash(s3cr3t) in users' hash list... : Matches [bruce19, knuth1337, john87]

　　Searching for hash(z@29hjja) in users' hash list... : No users used this password

　　這類編制可讓報復(fù)打擊者不預(yù)先計較一個查詢表的環(huán)境下同時對大年夜量hash進行字典和暴力破解報復(fù)打擊。

　　起首，報復(fù)打擊者會按照獲得到的數(shù)據(jù)庫數(shù)據(jù)建造一個用戶名和對應(yīng)的hash表。然后將常見的字典暗碼進行hash以后，跟這個表的hash進行對比，便可以知道用哪些用戶利用了這個暗碼。這類報復(fù)打擊編制很有結(jié)果，因為凡是環(huán)境下良多用戶城市有益用不異的暗碼。

　　彩虹表 (Rainbow Tables)

　　彩虹表是一種利用空間換取時候的手藝。跟查表破解很類似。只是它犧牲了一些破解時候來達到更小的存儲空間的目標(biāo)。因為彩虹表利用的存儲空間更小，所以單位空間便可以存儲更多的hash。彩虹表已可以或許破解8位長度的肆意md5hash。彩虹表具體的道理可以參考http://www.project-rainbowcrack.com/

　　下一章節(jié)我們會會商一種叫做“鹽”(salting)的手藝。經(jīng)由過程這類手藝可讓查表和彩虹表的編制沒法破解hash。

　　加鹽(Adding Salt)

　　hash("hello") = 2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824

　　hash("hello" + "QxLUF1bgIAdeQX") = 9e209040c863f84a31e719795b2577523954739fe5ed3b58a75cff2127075ed1

　　hash("hello" + "bv5PehSMfV11Cd") = d1d3ec2e6f20fd420d50e2642992841d8338a314b8ea157c9e18477aaef226ab

　　hash("hello" + "YYLmfY6IehjZMQ") = a49670c3c18b9e079b9cfaf51634f563dc8ae3070db2c4a8544305df1b60f007

　　查表和彩虹表的編制之所以有效是因為每個暗碼的都是經(jīng)由過程一樣的編制來進行hash的。假定兩個用戶利用了一樣的暗碼，那么必然他們的暗碼hash也必然不異。我們可以經(jīng)由過程讓每個hash隨機化，統(tǒng)一個暗碼hash兩次，獲得的不合的hash來避免這類報復(fù)打擊。

　　具體的把持就是給暗碼加一個隨即的前綴或后綴，然后再進行hash。這個隨即的后綴或前綴成為“鹽”。正如上面給出的例子一樣，經(jīng)由過程加鹽，不異的暗碼每次hash都是完全不一樣的字符串了。查抄用戶輸進的暗碼是不是準(zhǔn)確的時辰，我們也還需要這個鹽，所以鹽一般都是跟hash一路保留在數(shù)據(jù)庫里，或作為hash字符串的一部門。

　　鹽不需要保密，只要鹽是隨機的話，查表，彩虹表城市掉效。因為報復(fù)打擊者沒法事前知道鹽是甚么，也就沒有編制預(yù)先計較出查詢表和彩虹表。假定每個用戶都是利用了不合的鹽，那么反向查表報復(fù)打擊也沒法成功。

　　下一節(jié)，我們會介紹一些鹽的常見的弊端實現(xiàn)。

　　弊端的編制：短的鹽和鹽的復(fù)用

　　最多見的弊端實現(xiàn)就是一個鹽在多個hash中利用或利用的鹽很短。

　　鹽的復(fù)用(Salt Reuse)

　　非論是將鹽硬編碼在法度里仍是隨機一次生成的，在每個暗碼hash里利用不異的鹽會使這類防御編制掉效。因為不異的暗碼hash兩次獲得的成果仍是不異的。報復(fù)打擊者便可利用反向查表的編制進行字典和暴力報復(fù)打擊。只要在對字典中每個暗碼進行hash之前加上這個固定的鹽便可以了。假定是風(fēng)行的法度的利用了硬編碼的鹽，那么也可能呈現(xiàn)針對這類法度的這個鹽的查詢表和彩虹表，從而實現(xiàn)快速破解hash。

　　用戶每次成立或點竄暗碼必然要利用一個新的隨機的鹽

　　短的鹽

　　假定鹽的位數(shù)太短的話，報復(fù)打擊者也能夠預(yù)先建造針對所有可能的鹽的查詢表。好比，3位ASCII字符的鹽，一共有95x95x95 = 857,375種可能性。看起來仿佛良多。假定每個鹽建造一個1MB的包含常見暗碼的查詢表，857,375個鹽才是837GB。此刻買個1TB的硬盤都只要幾百塊罷了。

　　基于一樣的來由，千萬不要用用戶名做為鹽。當(dāng)然對每個用戶來講用戶名多是不合的，可是用戶名是可猜想的，其實不是完全隨機的。報復(fù)打擊者完全可以用常見的用戶名作為鹽來建造查詢表和彩虹表破解hash。

　　按照一些經(jīng)驗得出來的法則就是鹽的大年夜小要跟hash函數(shù)的輸出一致。好比，SHA256的輸出是256bits(32bytes),鹽的長度也應(yīng)當(dāng)是32個字節(jié)的隨機數(shù)據(jù)。

　　弊端的編制：兩重hash和古怪的hash函數(shù)

　　這一節(jié)會商別的一個常見的hash暗碼的曲解:古怪的hash算法組合。人們可能解決的將不合的hash函數(shù)組合在一路用可讓數(shù)據(jù)更安然。但實際上，這類編制帶來的結(jié)果很藐小。反而可能帶來一些互通性的標(biāo)題問題，乃至有時辰會讓hash加倍的不服安。本文一開端就提到過，永久不要測驗測驗本身寫hash算法，要利用專家們設(shè)計的尺度算法。有些人會感覺經(jīng)由過程利用多個hash函數(shù)可以降落計較hash的速度，從而增加破解的難度。經(jīng)由過程減慢hash計較速度來防御報復(fù)打擊有更好的編制，這個下文會具體介紹。

　　下面是一些網(wǎng)上找到的古怪的hash函數(shù)組合的樣例。

　　md5(sha1(password))

　　md5(md5(salt) + md5(password))

　　sha1(sha1(password))

　　sha1(str_rot13(password + salt))

　　md5(sha1(md5(md5(password) + sha1(password)) + md5(password)))

　　不要利用他們!

　　寄望：這部門的內(nèi)容其實是存在爭議的!我收到過大年夜量郵件說組合hash函數(shù)是成心義的。因為假定報復(fù)打擊者不知道我們用了哪個函數(shù)，就不成能事前計較出彩虹表，并且組合hash函數(shù)需要更多的計較時候。

　　報復(fù)打擊者假定不知道hash算法的話天然是沒法破解hash的?？墒强紤]到Kerckhoffs’s principle,報復(fù)打擊者凡是都是可以或許接觸到源碼的(特別是免費軟件和開源軟件)。經(jīng)由過程一些方針系統(tǒng)的暗碼–hash對應(yīng)關(guān)系來逆向出算法也不是很是堅苦。

　　假定你想利用一個尺度的”古怪”的hash函數(shù)，好比HMAC，是可以的?？墒羌俣愕哪繕?biāo)是想減慢hash的計較速度，那么可以讀一下后面會商的慢速hash函數(shù)部門?；谏厦鏁痰纳矸?，最好的做法是利用尺度的顛末嚴格測試的hash算法。

　　hash碰撞(Hash Collisions)

　　因為hash函數(shù)是將肆意數(shù)量標(biāo)數(shù)據(jù)映照成一個固定長度的字符串，所以必然存在不合的輸進顛末hash以后變成不異的字符串的環(huán)境。加密hash函數(shù)(Cryptographic hash function)在設(shè)計的時辰希看使這類碰撞報復(fù)打擊實現(xiàn)起來成本難以置信的高。但時不時的就有暗碼學(xué)家發(fā)現(xiàn)快速實現(xiàn)hash碰撞的編制。比來的一個例子就是MD5，它的碰撞報復(fù)打擊已實現(xiàn)了。

　　碰撞報復(fù)打擊是找到別的一個跟原暗碼不一樣，可是具有不異hash的字符串?？墒?，即便在相對弱的hash算法，好比MD5,要實現(xiàn)碰撞報復(fù)打擊也需要大年夜量的算力(computing power),所以在實際利用中偶爾呈現(xiàn)hash碰撞的環(huán)境幾近不太可能。一個利用加鹽MD5的暗碼hash在實際利用中跟利用其他算法好比SHA256一樣安然。不外假定可以的話，利用更安然的hash函數(shù)，好比SHA256, SHA512, RipeMD, WHIRLPOOL等是更好的選擇。

　　準(zhǔn)確的編制：若何得當(dāng)?shù)倪M行hash

　　這部門會具體味商若何得當(dāng)?shù)倪M行暗碼hash。第一個章節(jié)是最根本的，這章節(jié)的內(nèi)容是必需的。后面一個章節(jié)是闡述若何繼續(xù)加強安然性，讓hash破解變得異常堅苦。

　　根本：利用加鹽hash

　　我們已知道歹意黑客可以經(jīng)由過程查表和彩虹表的編制快速的獲得hash對應(yīng)的明文暗碼，我們也知道了經(jīng)由過程利用隨機的鹽可以解決這個標(biāo)題問題?？墒俏覀?nèi)绾紊甥}，如何在hash的過程中利用鹽呢?

　　鹽要利用暗碼學(xué)上靠得住安然的偽隨機數(shù)生成器(Cryptographically Secure Pseudo-Random Number Generator (CSPRNG))來產(chǎn)生。CSPRNG跟通俗的偽隨機數(shù)生成器好比C說話中的rand(),有很大年夜不合。正如它的名字申明的那樣，CSPRNG供給一個高尺度的隨機數(shù)，是完全沒法猜想的。我們不?？次覀兊柠}可以或許被猜想到，所以必然要利用CSPRNG。下表供給了一些常常利用說話中的CSPRNG。

　　每個用戶，每個暗碼都要利用不合的鹽。用戶每次成立賬戶或點竄暗碼都要利用一個新的隨機鹽。永久不要反復(fù)利用鹽。鹽的長度要足夠，一個經(jīng)驗法則就是鹽的起碼要跟hash函數(shù)輸出的長度一致。鹽應(yīng)當(dāng)跟hash一路存儲在用戶信息表里。

　　存儲一個暗碼：

　　1, 利用CSPRNG生成一個長的隨機鹽。

　　2, 將暗碼和鹽拼接在一路，利用尺度的加密hash函數(shù)好比SHA256進行hash

　　3, 將鹽和hash記其實用戶數(shù)據(jù)庫中

　　驗證一個暗碼：

　　1, 從數(shù)據(jù)庫中掏出用戶的鹽和hash

　　2, 將用戶輸進的暗碼和鹽按不異編制拼接在一路，利用不異的hash函數(shù)進行hash

　　3, 比較計較出的hash跟存儲的hash是不是不異。假定不異則暗碼準(zhǔn)確。反之則暗碼弊端。

　　在本文的最后，給出了php,C#,Java,Ruby的加鹽暗碼hash的實現(xiàn)代碼。

　　在web利用中，要在辦事端進行hash：

　　假定你在寫一個web利用，可能會有在客戶端仍是辦事端進行hash的利誘。是將暗碼在瀏覽器里利用javascript進行hash，仍是將明文傳給辦事端，在辦事端進行hash呢?

　　即便在客戶端用javascript進行了hash，在辦事端仍然需要將獲得的暗碼hash再進行hash。假定不這么做的話，認證用戶的時辰，辦事端是獲得了瀏覽器傳過來的hash跟數(shù)據(jù)庫里的hash比較。這模樣看起來是更安然了，因為沒有明文暗碼傳送到辦事端?？墒鞘聦嵣蠀s不是如許。

　　標(biāo)題問題在于如許的話，假定歹意的黑客獲得了用戶的hash，便可以直接用來登岸用戶的賬號了。乃至都不需要知道用戶的明文暗碼!也就不需要破解hash了。

　　這其實不是說你完全不克不及在瀏覽器端進行hash。只是假定你要如許做的話，必然要在辦事端再hash一次。在瀏覽器端進行hash是一個不錯的設(shè)法，可是在實現(xiàn)的時辰必然要考慮到以下幾點：

　　1, 客戶端暗碼hash其實不是HTTPS(SSL/TLS)的替代品。假定瀏覽器和辦事器之間的連接是不服安的，中間人(man-in-the-middle)可能經(jīng)由過程點竄網(wǎng)頁的加載的javascript移除掉落hash函數(shù)來獲得用戶的明文暗碼。

　　2, 有些瀏覽器可能不撐持javascript，有些用戶也會禁用javascript。為了更好的兼容性，需要檢測用戶的瀏覽器是不是撐持javascript，假定不撐持的話就需要在辦事端摹擬客戶端hash的邏輯。

　　3, 客戶端的hash也需要加鹽。一個很容想到的編制就是利用客戶端腳本要求辦事器或得用戶的鹽。記住，不要利用這類編制。因為如許歹意報復(fù)打擊者便可以經(jīng)由過程這個邏輯來鑒定一個用戶名是不是有效。因為我們已在辦事端進行了得當(dāng)?shù)募欲}的hash。所以這里利用用戶名跟特定的字符串(好比域名)拼接作為客戶端的鹽是可以的。

　　利用慢速hash函數(shù)讓破解加倍堅苦:

　　加鹽可讓報復(fù)打擊者沒法利用查表和彩虹表的編制對大年夜量hash進行破解。可是仍然沒法避免對單個hash的字典和暴力報復(fù)打擊。高端的顯卡(GPUs)和一些定制的硬件每秒可以計較數(shù)十億的hash，所以針對單個hash的報復(fù)打擊仍然有效。為了不字典和暴力報復(fù)打擊，我們可以采取一種稱為key擴大(key stretching)的手藝。

　　思路就是讓hash的過程便得很是遲緩，即便利用高速GPU和特定的硬件，字典和暴力破解的速度也慢到?jīng)]有合用價值。經(jīng)由過程減慢hash的過程來防御報復(fù)打擊，可是hash速度仍然可以包管用戶利用的時辰?jīng)]有較著的延遲。

　　key擴大的實現(xiàn)是利用一種大年夜量耗損cpu資本的hash函數(shù)。不要往利用本身創(chuàng)作發(fā)現(xiàn)的迭代hash函數(shù)，那是不敷的。要利用尺度算法的hash函數(shù)，好比PBKDF2或bcrypt。PHP實現(xiàn)可以在這里找到。

　　這些算法采取了一個安然變量或迭代次數(shù)作為參數(shù)。這個值決定了hash的過程具體有多慢。對桌面軟件和手機APP，肯定這個參數(shù)的最好編制是在設(shè)備上運行一個尺度測試法度獲得hash時候大年夜概在半秒擺布的值。如許便可以避免暴力報復(fù)打擊，也不會影響用戶體驗。

　　假定是在web利用中利用key擴大hash函數(shù)，需要考慮可能有大年夜量的計較資本用來措置用戶認證要求。報復(fù)打擊者可能經(jīng)由過程這類編制來進行拒盡辦事報復(fù)打擊。不外我仍然保舉利用key擴大hash函數(shù)，只是迭代次數(shù)設(shè)置的小一點。這個次數(shù)需要按照本身辦事器的計較能力和估計每秒需要措置的認證要求次數(shù)來設(shè)置。對拒盡辦事報復(fù)打擊可以經(jīng)由過程讓用戶登岸的時辰輸進驗證碼的編制來防御。系統(tǒng)設(shè)計的時辰必然要考慮到這個迭代次數(shù)將來可以便利的增加或降落。

　　假定你擔(dān)憂計較機的能力不敷強，而又希看在本身的web利用中利用key擴大hash函數(shù)，可以考慮在用戶的瀏覽器運行hash函數(shù)。Stanford JavaScript Crypto Library包含了PBKDF2算法。在瀏覽器中進行hash需要考慮上面提到的幾個方面。

　　理論上不成能破解的hash：利用加密的key和暗碼hash硬件

　　只要報復(fù)打擊者可以或許驗證一個猜想的暗碼是準(zhǔn)確仍是弊端，他們都可利用字典或暴力報復(fù)打擊破解hash。更深度的防御編制是加進一個保密的key(secret key)進行hash，如許只有知道這個key的人才能驗證暗碼是不是準(zhǔn)確。這個可以經(jīng)由過程兩種編制來實現(xiàn)。一種是hash經(jīng)由過程加密算法加密好比AES，或利用基于key的hash函數(shù)(HMAC)。

　　這個實現(xiàn)起來其實不等閑。key必然要做到保密，即便系統(tǒng)被攻破也不克不及泄漏才行?？墒羌俣▓髲?fù)打擊者獲得了系統(tǒng)權(quán)限，不管key保留在哪里，都可能被獲得到。所以這個key必然要保留在一個外部系統(tǒng)中，好比專門用來進行暗碼驗證的物理隔離的辦事器?；蚴抢冒惭b在辦事器上特別硬件，好比YubiHSM。

　　強烈建議所有大年夜型的辦事(超越10萬用戶)的公司利用這類編制。對超越100萬用戶的辦事商必然得采取這類編制呵護用戶信息。

　　假定前提不承諾利用專用驗證的辦事器和特別的硬件，仍然從這類編制中受益。大年夜部門數(shù)據(jù)庫泄漏都是操縱了SQL注進手藝。sql注進大年夜部門環(huán)境下，報復(fù)打擊者都沒法讀取辦事器上的肆意文件(封鎖數(shù)據(jù)庫辦事器的文件權(quán)限)。假定你生成了一個隨機的key，把它保留在了一個文件里。并且暗碼利用了加密key的加鹽hash，單單sql注進報復(fù)打擊導(dǎo)致的hash泄漏其實不會影響用戶的暗碼。當(dāng)然這類編制不如利用自力的系統(tǒng)來保留key安然，因為假定系統(tǒng)存在文件包含縫隙的話，報復(fù)打擊者便可能讀取這個奧秘文件了。不外，利用了加密key總回好過沒有益用吧。

　　需要寄望利用key的hash其實不是不需要加鹽，智慧的報復(fù)打擊者老是會找到編制獲得到key的。所以讓hash在鹽和key擴大的呵護下很是首要。

　　其他的安然辦法

　　暗碼hash僅僅是在產(chǎn)生安然變亂的時辰呵護暗碼。它其實不克不及讓利用法度加倍安然。對呵護用戶暗碼hash更多的是需要呵護暗碼hash不被偷走。

　　即便經(jīng)驗豐碩的法度也需要顛末安然培訓(xùn)才能寫出安然的利用。一個不錯的進修web利用縫隙的資本是OWASP。除非你理解了OWASP Top Ten Vulnerability List,不然不要往寫關(guān)系到敏感數(shù)據(jù)的法度。公司有責(zé)任確保所有的開辟者都顛末端足夠的安然開辟的培訓(xùn)。

　　經(jīng)由過程第三方的滲入測試也是不錯的編制。即便最好的法度員也會犯錯，所以讓安然專家來審計代碼老是成心義的。尋覓一個可托賴的第三方或本身雇用一個安然人員來機型按期的代碼審計。安然評審要在利用生命周期的初期就開端并且貫穿全部開辟過程。

　　對網(wǎng)站進行進侵監(jiān)控也十分首要。我建議起碼雇用一名全職的安然人員進行進侵檢測和安然事務(wù)響應(yīng)。假定進侵沒有檢測到，報復(fù)打擊者可能讓在你的網(wǎng)站上掛馬影響你的用戶。所以敏捷的進侵檢測和響應(yīng)也很首要。

　　常常發(fā)問的標(biāo)題問題

　　我應(yīng)當(dāng)利用甚么hash算法

　　可利用

　　1, 本文最后介紹的代碼

　　2, OpenWall的Portable PHP password hashing framework

　　3, 顛末充分測試的加密hash函數(shù)，好比SHA256, SHA512, RipeMD, WHIRLPOOL, SHA3等

　　4, 設(shè)計杰出的key擴大hash算法，好比PBKDF2，bcrypt，scrypt

　　5, crypt#Library_Function_crypt.283.29)的安然版本。($2y$, $5$, $6$)

　　不要利用

　　1, 過時的hash函數(shù)，好比MD5,SHA1

　　2， crypt的不服安版本。($1$, $2$, $2x$, $3$)

　　3, 任何本身設(shè)計的算法。

　　雖然MD5和SHA1并沒有暗碼學(xué)方面的報復(fù)打擊導(dǎo)致它們生成的hash很等閑被破解，可是它們年代很古老了，凡是都覺得(可能有一些不得當(dāng))它們不合合用來進行暗碼的存儲。所以我不保舉利用它們。對這個法則有個例外就是PBKDF2,它利用SHA1作為它的根本算法。

　　當(dāng)用戶健忘暗碼的時辰我應(yīng)當(dāng)如何讓他們重置

　　在我小我看來此刻外面遍及利用的暗碼重置機制都是不服安的，假定你有很高的安然需求，好比首要的加密辦事，那么不要讓用戶重置他們的暗碼。

　　大年夜大都網(wǎng)站利用綁定的email來進行暗碼找回。經(jīng)由過程生成一個隨機的只利用一次的token，這個token必需跟賬戶綁定，然后把暗碼重置的鏈接發(fā)送到用戶郵箱中。當(dāng)用戶點擊暗碼重置鏈接的時辰，提示他們輸進新的暗碼。需要寄望token必然要綁定到用戶以避免報復(fù)打擊者利用發(fā)送給本身的token來點竄他人的暗碼。

　　token必然要設(shè)置成15分鐘后或利用一次后作廢。當(dāng)用戶登岸或要求了一個新的token的時辰，之前發(fā)送的token都作廢也是不錯的主張。假定token不掉效的話，那么便可以用來永久節(jié)制這個賬戶了。Email(SMTP)是明文傳輸?shù)暮驼?，而互?lián)網(wǎng)上可能有良多歹意的路由器記實email流量。并且用戶的email賬號也可能被盜。使token盡可能快的掉效可以降落上面提到的這些風(fēng)險。

　　用戶可能測驗測驗往點竄token，所以不要在token里存儲任何賬戶信息。token應(yīng)當(dāng)是一個不克不及被猜想的隨機的二進制塊(binary blob)，僅僅用來進行辨認的一筆記實。

　　永久不要經(jīng)由過程email發(fā)送用戶的新暗碼。記得用戶重置暗碼的時辰要從頭生成鹽，不要利用之前舊暗碼利用的鹽。

　　假定我的用戶數(shù)據(jù)庫泄漏了，我應(yīng)當(dāng)如何辦

　　第一要做的就是弄大白信息是如何泄漏的，然后把縫隙修補好。

　　人們可能會想編制袒護此次安然事務(wù)，希看沒有人知道。可是，測驗測驗袒護安然事務(wù)會讓你的處境變得更糟。因為你不奉告你的用戶他的信息和暗碼可能泄漏了會給用戶帶來更大年夜的風(fēng)險。必然要第一時候通知用戶產(chǎn)生了安然事務(wù)，即便你還沒有完全弄大白黑客到底滲入到了甚么程度。在首頁上放一個提示，然后鏈接到具體申明的頁面。假定可能的話給每個用戶發(fā)送email提示。

　　向你的用戶具體的申明他的暗碼是若何被呵護的，?？词羌欲}的hash，即便暗碼進行了加鹽hash呵護，報復(fù)打擊者仍然會進行字典和暴力報復(fù)打擊測驗測驗破解hash。報復(fù)打擊者會利用發(fā)現(xiàn)的暗碼測驗測驗登岸其他網(wǎng)站，因為用戶可能在不合的網(wǎng)站都利用了不異的暗碼(所謂的撞庫報復(fù)打擊)。奉告你的用戶存在的這些風(fēng)險，建議他們點竄利用了不異暗碼的處所。在本身的網(wǎng)站上，下次用戶登岸的時辰強迫他們點竄暗碼。大年夜部門用戶可能會測驗測驗利用不異的暗碼，為了便利。要設(shè)計足夠的邏輯避免如許的環(huán)境產(chǎn)生。

　　即便有了加鹽的hash，報復(fù)打擊者也可能快速破解一些很弱的弱暗碼。為了降落這類風(fēng)險，可以在利用準(zhǔn)確暗碼的前提下，加一個郵件認證，直到用戶點竄暗碼。

　　還要奉告你的用戶有哪些小我信息存儲在網(wǎng)站上。假定數(shù)據(jù)庫包含諾言卡信息，你需要通知你的用戶寄望本身近期的賬單，并且最好刊出掉落這個諾言卡。

　　應(yīng)當(dāng)利用如何的暗碼策略，需要強迫利用強暗碼么

　　假定你的辦事不是有很嚴格的安然需求，那么不要限制你的用戶。我建議在用戶輸進暗碼的時辰顯示它的強度等第。讓用戶本身決定利用甚么強度的暗碼。假定你的系統(tǒng)有很強的安然需求，那么強迫用戶利用12位以上的暗碼，起碼包含2個數(shù)字，2個字母，2個字符。

　　每6個月最多強迫用戶點竄一次暗碼。超越這個次數(shù)，用戶就會感應(yīng)怠倦。他們更偏向于選擇一個弱暗碼。更應(yīng)當(dāng)做的是教育你的用戶，當(dāng)他們感應(yīng)本身的暗碼可能泄漏的時辰主動點竄暗碼。

　　假定報復(fù)打擊者獲得了數(shù)據(jù)庫權(quán)限，他不克不及直代替代hash登岸肆意賬戶么

　　當(dāng)然，不外假定他已或得了數(shù)據(jù)庫權(quán)限，很可能已可以獲得辦事器上的所有信息了。所以沒有甚么需要往點竄hash登岸他人賬戶。進行暗碼hash的目標(biāo)不是呵護網(wǎng)站不被進侵，而是假定進侵產(chǎn)生了，可以更好的呵護用戶的暗碼。

　　在SQL注進報復(fù)打擊中，呵護hash不被替代的編制利用兩個用戶不合權(quán)限的用戶連接數(shù)據(jù)庫。一個具有寫權(quán)限，別的一個只具有只讀的權(quán)限。

　　為甚么需要一些出格的算法好比HMAC，而不是直接把暗碼和加密key拼接在一路

　　(這部門講一些暗碼學(xué)的道理，翻譯的不好請見諒)

　　hash函數(shù)，好比MD5,SHA1,SHA2利用了Merkle–Damgrd construction，這導(dǎo)致算法可能長度擴大報復(fù)打擊(length extension attacks)。意思就是說給定一個hash H(X)，報復(fù)打擊者可以在不知道X的環(huán)境下，可以找到一個H(pad(X)+Y)的值，Y是個其他的字符串。pad(X)是hash函數(shù)利用的填充函數(shù)(padding function)。

　　這就意味者，對hash H(key + message)，報復(fù)打擊者可以計較 H(pad(key + message) + extension)，其實不需要知道加密key。假定這個hash是用在動靜認證過程中，利用key為了不動靜被點竄。如許的話這個系統(tǒng)便可能掉效了，因為報復(fù)打擊者掌控了一個有效的基于 message+extension的hash。

　　這類報復(fù)打擊對若何快速破解hash還不是很清晰?？墒牵谝恍╋L(fēng)險的考慮，不建議利用純真的hash函數(shù)進行加密key的hash。或許一個智慧的暗碼學(xué)家一天便可以找到利用這類報復(fù)打擊快速破解hash的編制。所以記得利用HMAC。

　　鹽應(yīng)當(dāng)拼在暗碼的前面仍是后面

　　這個不首要。選擇一個并且保持氣焰一致就好了。實際中，把鹽放在前面更常見一點。

　　為甚么本文最后供給的hash代碼利用了固定履行時候的函數(shù)來比較hash(length-constant)

　　利用固定的時候來比較hash是為了不報復(fù)打擊者在線上的系統(tǒng)中利用基于時候差的報復(fù)打擊。如許報復(fù)打擊者就只能線下破解了。

　　比較兩個字符串是不是不異，尺度的編制是先比較第一個字節(jié)，然后比較第二個字節(jié)，一次類推。只要發(fā)現(xiàn)有一個字節(jié)不合，那么這兩個字符串就是不合了?？梢苑祷豧alse的動靜了。假定所有字節(jié)比較下來都一樣，那么這兩個字符串就是不異的，可以返回true。這就意味了比較兩個字符串，假定他們不異的長度不一樣，破鈔的時候不一樣。開端部門不異的長度越長，破鈔的時候也就越長。

　　基于這個道理，報復(fù)打擊者可以先找256個字符串，他們的hash都是以不合的字節(jié)開首。然后發(fā)送到方針辦事器，計較辦事器返回的時候。時候最長的那一個就是第一個字節(jié)hash是準(zhǔn)確的。順次類推。報復(fù)打擊者便可能獲得hash更多的字節(jié)。

　　這類報復(fù)打擊聽起來仿佛在收集上實現(xiàn)起來比較堅苦。可是已有人實現(xiàn)過了。所以我們在比較hash的時辰采取了破鈔時候固定的函數(shù)。