未加密密码用户群的加密密码

Question

前段时间我加入了一个新项目。 它已经开发了相当长的时间。 让我惊讶的是，所有用户的密码都以非加密形式存储。

我向我们的管理层解释了这个巨大的安全漏洞 - 看起来他们同意这一点并希望使项目更加安全。 团队成员也同意。

我们的系统中有大约 20K 用户。

实际上，完成这项工作是相当有压力的 - 将非加密密码迁移到加密形式。 如果出现问题，可能会导致项目灾难。

我怎样才能减轻这种压力？ 备份？ 单元测试（集成测试）？

Answer 1

好吧，请小心备份，因为它将包含未加密的用户密码:-)

假设密码存储在数据库中，一个简单的解决方案将如下所示：

1) 对整个表数据进行安全备份

2) 创建新列（PasswordEncrypted 或类似名称）

3) 使用 UPDATE 查询，在使用 32 字节或更大的 salt 时，使用未加密密码的 MD5 更新每行的新列。 如今几乎每个数据库系统都具有 MD5 功能，因此您甚至不必离开 SQL 提示符

4) 临时保留明文列并相应更新您的应用程序/脚本以使用加盐密码。

5) 重命名明文旧密码列以暂时将其退出并测试您的应用程序 - 如果有任何问题，请返回到步骤 4 并修复您的错误。

6) 当一切正常时，删除明文密码列

7) 既然您已经采取了一定程度的安全措施，可以减轻以前可能成功的攻击的影响，则鼓励用户选择新密码。

Answer 2

这是一个什么样的项目？ Web 应用程序、桌面应用程序？

如果您要走重构之路，是否有理由需要将密码存储在可逆的方式（例如加密）中？ 一般来说，最好使用 SHA 之类的方法对密码进行哈希处理，然后使用相同的算法对输入进行哈希处理并比较结果。 您仅存储哈希值，而不存储实际密码。 这使您能够检查某人是否输入了正确的密码，而不会让您的用户面临您的加密被破坏及其密码暴露的可能性。

我无法提供有关您的方法的具体信息（因为我不知道它是如何工作的），但您最好的选择是创建一个附加列来存储散列密码，散列现有密码，然后将它们保存到任何密码更改的日期。 使用此新列进行所有新开发，然后在移动完成并测试后，删除包含明文密码的列。

Answer 3

编写大量测试，测试大量极端情况（大小写、数字、符号、Unicode 字符、长密码等）。 当您开发和测试时，创建一个系统以移回旧系统（当然，通过提供旧密码列表，因为一旦密码被散列，您将无法直接将它们转换回来）。 保存当前密码列表的副本。 在测试文件或测试数据库中转换密码，然后使用保存的密码副本来测试一切是否正常。 现在将系统投入生产，并确保它适合您的用户。 如果没有，则您已经测试了迁移回旧系统的计划。 一旦证明它可以工作几周，您就可以删除明文密码列表，一切就都准备好了。

Answer 4

我只需对当前密码进行哈希处理，将它们存储在新的数据库字段中，然后在删除密码字段时开始使用该字段。 然后，我会通知我的用户，现在是更改密码的好时机，因为您已经实施了更多安全机制来保证他们的数据安全。

要进行备份，只需执行SELECT * INTO Backup FROM UserData

Answer 5

您可以通过为每次登录尝试运行两种身份验证方法（加密和未加密）来获得额外的信心，如果它们产生不同的结果，则会收到发送给您的警报电子邮件。 此更改对您的用户不可见，因此它可以运行数周甚至数月。 一旦您发现旧的和新的身份验证适用于足够高比例的用户，请停用旧的身份验证。

Answer 6

如果可能的话，您可以尝试以下操作：向所有用户发送一封电子邮件，要求其更新密码，并设置一个超时期限，在此之后，如果他们不更改密码，他们将无法工作。 对这些新密码进行哈希处理并存储哈希值。 这需要对前端进行一些更改（即它发送回的数据）。