双哈希密码 - 客户端和客户端服务器

Question

嘿，首先，我要说的是，我不是在问诸如 md5(md5(...，已经有相关主题了。

我的问题是：

我们允许我们的客户在本地存储他们的密码。当然，我们不这样做不希望它们存储在计划文本中，因此我们在存储和/或发送之前在本地对它们进行 hmac 现在，这很好，但如果这就是我们所做的一切，那么服务器将拥有存储的 hmac，并且因为只有客户端。需要发送 hmac，而不是纯文本密码，攻击者可以使用服务器存储的哈希值来访问任何人的帐户（当然，在灾难性的情况下，有人会获得对数据库的此类访问权限）

。是通过 hmac 在客户端上对密码进行一次编码，将其发送到服务器，然后通过 hmac 对其进行第二次编码，并将其与存储的两次 hmac 密码进行匹配，这将确保：

• 客户端可以存储 。本地密码，而不必将其存储为纯文本
• 客户端可以发送密码，而不必（过多）担心其他网络方
• 服务器可以存储密码，而不必担心有人从服务器窃取密码并使用它当然

，所有其他内容（强密码、双盐等）也适用，但与问题并不真正相关。

真正的问题是：这听起来像是一个可靠的安全设计吗？我们是否忽视了这样做的任何缺陷？是否有类似这样的安全模式？

附录：我们不想在客户端本地以纯文本形式存储密码的原因是，尽管令人悲伤，但许多人仍然在多个服务中使用相同的密码，因此获取“真实”密码将是一个更大的困难对于用户来说，安全漏洞比哈希被盗更重要。

Answer 1

我正跑出门外，但双向飞碟发出了叮当声，你别乱动双向飞碟。

您正在做的是将密码替换为另一个常量值。您在这里一无所获，您拥有的唯一安全性是无法在客户端计算机上发现纯文本密码。

然后你要做的就是将密码的 HMAC（你确定你指的是 HMAC 吗？如果是的话，密钥来自哪里并存储在哪里？）作为密码本身 - 你将其从客户端发送到服务器，其中它用于验证。第二个 HMAC 或散列是没有意义的 - 您正在与发送的值进行比较 - 它是任何其他名称的密码。因此，作为攻击者，我不需要窃取密码，只需窃取存储在客户端计算机上的 HMAC。在这里什么也得不到。

Answer 2

警告：我不是安全专家。我将 ping blowdart 看看他是否愿意加入。

客户端是否只是存储哈希值并有效传输某些内容仅仅基于哈希值，然后他们有效以纯文本形式存储它。第一个哈希提供的唯一好处是，如果他们在不同的系统上使用相同的密码，则即使哈希被泄露，其他系统也不会受到损害。

换句话说：如果有人可以获取存储在服务器上的哈希值，这就是他们登录系统所需的一切......就像纯文本存储一样。

Answer 3

正如其他人所说，将客户端和您的系统分开，这并不能真正给您带来任何好处 - 第一个哈希只是成为密码。

如果（很可能）客户端在其他系统上使用相同的密码，则该值就会出现。在这种情况下，如果客户端计算机受到威胁，那么至少其哈希密码的本地副本不允许攻击者访问其他系统。显然，客户端的攻击者现在将能够访问您的服务器 - 毕竟他们已经获得了密码。

有权访问服务器上的双重哈希值的攻击者不会向他们购买任何东西，因为他们无法反转该值以获得单一哈希值（即“密码”）。当然，如果攻击者能够读取您的安全数据库，那么我怀疑他们还有其他可用的攻击向量:)

另外，正如另一位海报所说，请确保您在两个哈希值上都使用了盐。如果不这样做，如果密码不强，反转哈希值实际上可能非常简单。

编辑 - 实际上，考虑一下，因为您使用哈希作为密码，所以您实际上不需要在服务器上使用盐。任何人都不可能创建一个有效的彩虹表:) 不过客户端仍然需要一个。

Answer 4

不，这不安全。哈希值实际上就是密码。事实上，密码是从用户认为是密码的其他东西派生出来的，这一点并不重要。这是一个验证用户身份的秘密值，对吗？对我来说听起来像是一个密码。

我认为这取决于这样的说法：“当然，我们不希望它们存储在计划文本中，因此我们在存储和/或发送之前在本地对它们进行 hmac 处理。”如果系统被更改，使得散列密码现在具有与曾经具有的密码相同的权力，则应该对散列密码使用相同级别的谨慎。

Answer 5

吹镖击中了要害——你只是改变了偷窃的秘密，并没有保护任何东西。您尝试复制的是一种旧的身份验证协议，我一辈子都记不起它的名称。它的工作原理如下：

初始化时，服务器获取您的密码，迭代散列 n 次，用 F_n(pass) 表示。客户端有密码和数字n。

您进行身份验证，并向服务器发送 F_n-1(pass) - 即密码散列 n-1 次。服务器再次对其进行哈希处理，将其与 F_n(pass) 进行比较，如果它们匹配，您就可以获得访问权限。然后，服务器将 F_n(pass) 替换为 F_n-1(pass)，然后递减 n。

下次您进行身份验证时，您发送 F_n-2（通过），然后重复该过程。

让我们检查一下安全性：

• MITM：协议中没有内置的抵抗力，您必须将其分层到 SSL
• 重放攻击中：它们不起作用，因为服务器已经减少了哈希迭代。
• 窃听：下一次身份验证将使用 F_n-1（通过）完成。您有 F_n（通过）。根据哈希函数的定义，从 F_n(pass) 到 F_n-1(pass) 是不可行的
• 拥有服务器：您不知道客户端的密码，您也不能以他们的身份进行身份验证，因为当您只有 F_n 时，您再次需要 F_n-1(pass)
• 拥有客户端：因为您存储 F< sub>n-1(pass)（因此他们不必输入pass）-然后拥有客户端将让攻击者登录。如果您只存储 n 而不是密码，则会阻止这种情况，但您显然想保存密码。

这就是你想要实现的目标。然而，这个协议没有被使用是有原因的——它是一个巨大的同步问题。如果客户端和服务器由于完成了一半的步骤而失去同步，您将被锁定。您为避免这种情况而建立的任何弹性都可能会降低重放或窃听的安全性。

Answer 6

我不太确定这比在本地以明文形式存储密码会给您带来什么。

本地加密的目的是防止黑客将密码发送到您的服务器。但是，如果您打算发送加密表格……那么您还没有购买任何东西。

相反，本地计算机应以双向加密格式存储密码。这意味着它可以被解密。您在传输之前执行的操作。数据库可以存储单向加密格式（甚至使用单独的加密机制）。在比较之前，您对收到的内容进行加密，然后进行检查。

Answer 7

密码的初始哈希值旨在实现什么目的？它将防止密码的纯文本版本被发现。它不会阻止使用该哈希值来计算双重哈希值。