关于安全:用户密码加密存储十问十答一文说透密码安全存储

41次阅读

共计 4600 个字符,预计需要花费 12 分钟才能阅读完成。

作者:__程序员赵鑫
原文:https://www.cnblogs.com/xinzh…

咱们数据库的权限治理非常严格,敏感信息开发工程师都看不到,明码明文存储不行吗?

不行。存储在数据库的数据面临很多威逼,有应用程序层面、数据库层面的、操作系统层面的、机房层面的、员工层面的,想做到百分百不被黑客窃取,十分艰难。

如果明码是加密之后再存储,那么即使被拖库,黑客也难以获取用户的明文明码。能够说,明码加密存储是用户账户零碎的底裤,它的重要性,相当于你单独出远门时缝在内衣里钱,尽管你用到他们的概率不大,但关键时刻他们能救命。

那用加密算法比方 AES,把明码加密下再存,须要明文的时候我再解密。

不行。这波及到怎么保留用来加密解密的密钥,尽管密钥个别跟用户信息离开存储,且业界也有一些成熟的、基于软件或硬件的密钥存储计划。但跟用户信息的保留一样,想要密钥百分百不泄露,不可能做到。用这种形式加密明码,可能升高黑客获取明文明码的概率。但密钥一旦泄露,用户的明文明码也就泄露了,不是一个好办法。

另外,用户账户零碎不应该保留用户的明文明码,在用户遗记明码的时候,提供重置明码的性能而不是找回明码。

保留所有明码的 HASH 值,比方 MD5。是不是就能够了?

不是所有的 HASH 算法都能够,精确讲应该是 Cryptographic Hash。Cryptographic Hash 具备如下几个特点:

  1. 给定任意大小任意类型的输出,计算 hash 十分快;
  2. 给定一个 hash,没有方法计算得出该 hash 所对应的输出;
  3. 对输出做很小改变,hash 就会产生很大变动;
  4. 没有方法计算失去两个 hash 雷同的输出;

尽管不是为加密明码而设计,但其第 2、3、4 三个个性使得 Cryptographic Hash 非常适合用来加密用户明码。常见的 Cryptographic Hash 有 MD5、SHA-1、SHA-2、SHA-3/Keccak、BLAKE2。

从 1976 年开始,业界开始应用 Cryptographic Hash 加密用户明码,最早见于 Unix Crypt。但 MD5、SHA- 1 已被破解,不适宜再用来保留明码。

那我保留用户明码的 SHA256 值。

不行。黑客能够用查问表或彩虹表来破解用户明码。留神是破解明码不是破解 sha256,能依据 sha256 破解明码的起因是,用户明码往往须要大脑记忆、手工输出,所以不会太简单,往往具备无限的长度、确定的取值空间。

  • 短的取值简略的明码能够用查问表破解

比方 8 位数字明码,一共只有 10^8=100000000 种可能。一亿条数据并不算多,黑客能够提前吧 0 -99999999 的 sha256 都计算好,并以 sha256 做 key 明码为 value 存储为一个查问表,当给定 sha256 须要破解时,从表中查问即可。

  • 取值绝对简单,且长度较长的明码,能够用彩虹表破解

比方 10 位,容许数字、字母大小写的明码,一共有(10+26+26)^10~=84 亿亿种可能,记录十分之多难以用查问表全副保存起来。这时候黑客会用一种叫做彩虹表的技术来破解,彩虹表用了典型的计算机世界里解决问题的思路,工夫空间斗争。在这个例子外面,空间不够,那就多花一些工夫。在彩虹表中,能够将全副的 sha256 值转化为长度雷同的若干条 hash 链,只保留 hash 链的头和尾,在破解的时候先查问失去 sha256 存在于哪条 hash 链中,而后计算这一条 hash 链上的所有 sha256,通过实时比对来破解用户明码。

上图图展现了一个 hash 链长度为 3 的彩虹表,因为在 hash 链中须要将 hash 值应用 R 函数映射回明码取值空间,为了升高 R 函数的抵触概率,长度为 K 的 hash 链中,彩虹表会应用 k 个 R 函数,因为每次迭代映射回明码空间应用的 R 函数不一样,这种破解办法被称作彩虹表攻打。

理论的状况 Hash 链要比远比上例更长,比方咱们的例子中全副的 84 亿亿个 sha256 存不下,能够转化为 840 亿条长度为 1 千万的 sha 链。对彩虹表原理感兴趣的话,能够浏览它的维基百科。

网路上甚至有一些曾经计算好的彩虹表能够间接应用,所以间接保留用户明码的 sha256 是十分不平安的。

怎么防止彩虹表攻打?

简略讲,就是加盐。一般来讲用户明码是个字符串 key、盐是咱们生成的字符串 salt。原来咱们保留的是 key 的 hash 值 HASH(key),当初咱们保留 key 和 salt 拼接在一起的 hash 值 HASH(key+salt)。

这样黑客提前计算生成的彩虹表,就全都生效了。

盐应该怎么生成,随机生成一个字符串?

这是个好问题,并不是加个盐就平安了,盐的生成有很多考究。

  • 应用 CSPRNG(Cryptographically Secure Pseudo-Random Number Generator)生成盐,而不是一般的随机数算法;

CSPRNG 跟一般的随机数生成算法,比方 C 语言规范库外面的 rand()办法,有很大不同。正如它的名字所揭示,CSPRNG 是加密平安的,这意味着用它产生的随机数更加随机,且不可预测。常见编程语言都提供了 CSPRNG,如下表:

  • 盐不能太短

想想查问表和彩虹表的原理,如果盐很短,那意味着明码 + 盐组成的字符串的长度和取值空间都无限。黑客齐全能够为明码 + 盐的所有组合建设彩虹表。

  • 盐不能重复使用

如果所有用户的明码都应用同一个盐进行加密。那么不论盐有多简单、多大的长度,黑客都能够很容易的应用这个固定盐从新建设彩虹表,破解你的所有用户的明码。如果你说,我能够把固定盐存起来,不让他人晓得啊,那么你应该从新读一下我对于为什么应用 AES 加密不够平安的答复。

即使你为每一个用户生成一个随机盐,安全性依然不够,因为这个盐在用户批改明码时重复使用了。该当在每一次须要保留新的明码时,都生成一个新的盐,并跟加密后的 hash 值保留在一起。

留神:有些零碎用一个每个用户都不同的字段,uid、手机号、或者别的什么,来作为盐加密明码。这不是一个好主见,这简直违反了下面全副三条盐的生成规定。

那我本人设计一个黑客不晓得的 HASH 算法,这样你的那些破解办法就都生效了。

不能够。

首先如果你不是一个密码学专家,你很难设计出一个平安的 hash 算法。不服气的话,你能够再看一遍下面我对于 Cryptographic Hash 的形容,而后想一想本人怎么设计一个算法能够满足它的全副四种个性。就算你是基于已有的 Cryptographic Hash 的根底下来设计,设计完之后,也难以保障新算法依然满足 Cryptographic Hash 的要求。而一旦你的算法不满足平安要求,那么你给了黑客更多更容易破解用户明码的办法。

即使你能设计出一个他人不晓得的 Cryptographic Hash 算法,你也不能保障黑客永远都不晓得你的算法。黑客往往都有能力拜访你的代码,想想柯克霍夫准则或者香农公里:

明码零碎应该就算被所有人晓得零碎的运作步骤,依然是平安的。

为每一个明码都加上不同的高质量的盐,做 HASH,而后保留。这样能够了吧?

以前是能够的,当初不行了。计算机硬件飞速发展,一个古代通用 CPU 能以每月数百万次的速度计算 sha256,而 GPU 集群计算 sha256,更是能够达到每秒 10 亿次以上。这使得暴力破解明码成为可能,黑客不再依赖查问表或彩虹表,而是应用定制过的硬件和专用算法,间接计算每一种可能,实时破解用户明码。

那怎么办呢?回忆下面对于 Cryptographic Hash 个性的形容,其中第一条:

给定任意大小任意类型的输出,计算 hash 十分快

Cryptographic Hash 并不是为了加密明码而设计的,它计算十分快的这个个性,在其余利用场景中十分有用,而在当初的计算机硬件条件下,用来加密明码就显得不适合了。针对这一点,明码学家们设计了 PBKDF2、BCRYPT、SCRYPT 等用来加密明码的 Hash 算法,称作 Password Hash。在他们的算法外部,通常都须要计算 Cryptographic Hash 很屡次,从而减慢 Hash 的计算速度,增大黑客暴力破解的老本。能够说 Password Hash 有一条设计准则,就是计算过程可能按要求变慢,并且不容易被硬件加速。

应该应用哪一种 Password Hash?

PBKDF2、BCRYPT、SCRYPT 已经是最罕用的三种明码 Hash 算法,至于哪种算法最好,多年以来明码学家们并无定论。但能够确定的是,这三种算法都不完满,各有毛病。其中 PBKDF2 因为计算过程须要内存少所以可被 GPU/ASIC 减速,BCRYPT 不反对内存占用调整且容易被 FPGA 减速,而 SCRYPT 不反对独自调整内存或计算工夫占用且可能被 ASIC 减速并有被旁路攻打的可能。

2013 年 NIST(美国国家标准与技术研究院)邀请了一些明码学家一起,举办了明码 hash 算法大赛(Password Hashing Competition),意在寻找一种规范的用来加密明码的 hash 算法,并借此在业界宣传加密存储用户明码的重要性。大赛列出了参赛算法可能面临的攻打伎俩:

  • [X] 加密算法破解(原值还原、哈希碰撞等,即应满足 Cryptographic Hash 的第 2、3、4 条个性);
  • [X] 查问表 / 彩虹表攻打;
  • [X] CPU 优化攻打;
  • [X] GPU、FPGA、ASIC 等专用硬件攻打;
  • [X] 旁路攻打;

最终在 2015 年 7 月,Argon2 算法博得了这项比赛,被 NIST 认定为最好的明码 hash 算法。不过因为算法过新,目前还没据说哪家大公司在用 Argon2 做明码加密。

一路问过去好累,能不能给我举个例子,大公司是怎么加密用户明码的?

往年(2016)Dropbox 曾产生局部用户明码数据泄露事件,过后其 CTO 示意他们对本人加密明码的形式很有信念,请用户释怀。随后,Dropbox 在其官网技术博客发表名为《How Dropbox securely stores your passwords》的文章,讲述了他们的用户明码加密存储计划。

如上图所示,Dropbox 首先对用户明码做了一次 sha512 哈希将明码转化为 64 个字节,而后对 sha512 的后果应用 Bcrypt 算法(每个用户独立的盐、强度为 10)计算,最初应用 AES 算法和全局惟一的密钥将 Bcrypt 算法的计算结果加密并保留。博文中,Dropbox 形容了这三层加密的起因:

  • 首先应用 sha512,将用户明码归一化为 64 字节 hash 值。因为两个起因:一个是 Bcrypt 算对输出敏感,如果用户输出的明码较长,可能导致 Bcrypt 计算过慢从而影响响应工夫;另一个是有些 Bcrypt 算法的实现会将长输出间接截断为 72 字节,从信息论的角度讲,这导致用户信息的熵变小;
  • 而后应用 Bcrypt 算法。抉择 Bcrypt 的起因,是 Dropbox 的工程师对这个算法更相熟调优更有教训,参数抉择的规范,是 Dropbox 的线上 API 服务器能够在 100ms 左右的工夫可计算出后果。另外,对于 Bcrypt 和 Scrypt 哪个算法更优,明码学家也没有定论。同时,Dropbox 也在关注明码 hash 算法新秀 Argon2,并示意会在适合的机会引入;
  • 最初应用 AES 加密。因为 Bcrypt 不是完满的算法,所以 Dropbox 应用 AES 和全局密钥进一步升高明码被破解的危险,为了避免密钥泄露,Dropbox 采纳了专用的密钥保留硬件。Dropbox 还提到了最初应用 AES 加密的另一个益处,即密钥可定时更换,以升高用户信息 / 密钥泄露带来的危险。


正文完
 0