如何升级密码存储方案（更改哈希算法）

Question

我被要求对 Intranet 站点进行一些更改/更新；正如他们所说，使其成为“面向未来”。

我们发现密码是使用 MD5 算法进行哈希处理的。 （该系统自 2001 年以来就已经存在，所以当时已经足够了）。
我们现在想要将哈希算法升级为更强的算法（BCrypt-hash 或 SHA-256）。

我们显然不知道明文密码，并且为用户库创建新密码不是一个选项^*)。

所以，我的问题是：

在无法访问明文密码的情况下更改哈希算法的可接受方法是什么？
最好的解决方案是完全“在幕后”的解决方案。

<子> *）我们尝试过；为了说服他们，我们使用了“密码年龄”的论点，试图用咖啡贿赂他们，试图用蛋糕贿赂他们等等。但这不是一个选择。

更新
我希望有某种自动解决方案来解决问题，但显然除了“等待用户登录，然后转换”之外没有其他选择。

好吧，至少现在我现在没有其他的解决办法了。

Answer 1

首先，在数据库中添加一个字段来识别密码是使用MD5还是新算法。

对于仍然使用 MD5 的所有密码：

-- 在登录过程中，验证用户输入的密码：将用户提交的密码临时存储在内存中（这里没有安全问题，因为它已经在内存中的某处）并执行通常的 MD5 哈希&与存储的哈希值进行比较；

-- 如果给出了正确的密码（与现有哈希匹配），则通过新算法运行临时存储的密码，存储该值，更新新字段以标识该密码已更新为新算法。

（当然，您只需对任何新用户/新密码使用新算法。）

Answer 2

我不完全确定这个选项，因为我不是密码学专家。如果我在某些地方错了，请纠正我！

我认为 Dave P. 显然是最好的选择。

... 但。有一个自动解决方案 - 对旧的哈希值本身进行哈希处理。也就是说，获取当前的哈希值，并使用更强的算法再次对它们进行哈希处理。请注意，据我了解，这里的哈希长度不会增加任何安全性，只会增加新算法的加密复杂性。

当然，问题是检查密码必须通过两个哈希值。您还必须对每个新密码执行相同的操作。嗯，这非常愚蠢。除非您想使用像 Dave P. 解释的类似方案，最终使用新的哈希算法返回到单哈希密码……在这种情况下，为什么还要为此烦恼呢？ （当然，您可能会在公司诉讼的演示中以一种华丽的“提高所有密码的安全性，立即应用！”的方式使用它，并且表情相对严肃......）

尽管如此，它仍然是一个可以立即应用的选项所有当前密码，无需任何逐步迁移阶段。

但是天哪，天哪，以后有人看到这段代码会开怀大笑吗！ :)

Answer 3

将passwordChange日期时间字段添加到数据库中。

X 天之前设置的所有密码，使用 MD5 检查

X 天之后设置的所有密码，使用 BCrypt 或其他方式检查。

Answer 4

您可以将用于创建该哈希的算法存储在哈希字段本身（例如“MD5:d41d8cd98f00b204e9800998ecf8427e”）或另一列中。然后，您必须修改登录过程，以便在检查密码时使用正确的算法。当然，任何新密码都将使用新算法进行哈希处理。希望密码最终会过期，并且随着时间的推移，所有 MD5 哈希值都将被逐步淘汰。

Answer 5

由于您不知道明文密码，也许您应该创建一个指示加密版本的字段（例如PasswordVersion位默认0）

下次用户尝试登录时，使用当前算法版本检查散列密码，就像你今天做的那样。如果匹配，则再次对其进行哈希处理并更新 PasswordVersion 字段。

希望您不需要比 bit 大的 PasswordVersion 列。 =)

Answer 6

您应该更改密码数据库以存储 3 项：

1. 算法标识符。
2. 服务器在首次计算和存储密码哈希时选择的随机盐字符串。
3. 使用指定算法连接盐+密码的哈希值。

当然，这些可以用分隔符一起存储在一个文本字段中：

“SHA256：这是盐：这是哈希值”

现在将现有条目转换为具有空盐和旧算法的值

“MD5::这是旧的 md5 哈希值，不加盐”

现在您有足够的信息来验证所有现有的密码条目，但您也可以验证新条目（因为您知道使用了哪个哈希函数） 。您可以在现有用户下次登录时将旧条目转换为新算法，因为在此过程中您将获得他们的密码：

1. 如果您的数据库表明他们正在使用不带盐的旧算法，请首先通过旧方式验证密码检查密码的 MD5 哈希值是否匹配。如果没有，则拒绝登录。
2. 如果密码已验证，则让服务器选择一个随机盐字符串，计算盐+密码的 SHA256 哈希值，并用指定新算法、盐和哈希值的新条目替换密码表条目。
3. 当用户再次登录时，您会看到他们正在使用新算法，因此计算盐+密码的哈希值并检查它是否与存储的哈希值匹配。

最终，在该系统运行一段合适的时间后，您可以禁用尚未转换的帐户（如果需要）。

添加每个条目独有的随机盐字符串使得该方案更能抵抗使用彩虹表的字典攻击。

Answer 7

最佳答案来自真正的密码学专家
https://paragonie.com/ blog/2016/02/how-safely-store-password-in-2016#legacy-hashes

这篇文章还有助于解释您应该使用哪种哈希。即使它写着 2016，它仍然是最新的。如果有疑问，请使用 bcrypt。

在您的用户帐户表中添加一列，称为legacy_password（或同等内容）。这只是一个布尔值

，计算现有密码哈希值的新的更强的哈希值并将它们存储在数据库中。

修改您的身份验证代码以处理旧标志。

当用户尝试登录时，首先检查是否设置了legacy_password标志。如果是，请首先使用旧密码哈希算法对其密码进行预哈希，然后使用此预哈希值代替其密码。然后（md5），重新计算新的哈希值并将新的哈希值存储在数据库中，在此过程中禁用legacy_password标志。