如何管理Web应用程序中的密码？

Question

当前在 Web 应用程序中保存用户密码的最先进方法是什么？我正在使用 Java 6 + MySQL。我想到的一些问题是：在应用程序中编码更好还是通过 DBMS 编码更好（这是否相关）？哪种算法被认为是可靠的？数据库中要存储什么？对于这个东西真的很陌生，所以可能错过了一些关键细节，在这种情况下，请随时告诉我。

谢谢。

Answer 1

您应该将安全散列和加盐版本的密码存储到数据库中。这样，如果您的网站遭到黑客攻击，由于用户几乎在任何地方都使用相同的通行证，因此他们的其他帐户不会受到损害。

为此，应执行以下操作：

1. 使用尚未被破坏的安全散列算法（最好是 SHA-512，Sha1 和 MD5 已被破坏）
2. 连接用户名+密码+盐 strong>（salt 应该是一个相对较长的常量字符串，在应用程序上始终保持不变，并在一定程度上防止彩虹攻击）
3. 连接的 SHA-512 结果并将其存储在数据库中。
4. 每次用户尝试登录时，使用相同的方法散列他/她的凭据并检查数据库中的数据，如果相同，则正确。

在哪里散列密码（应用程序或数据库）并不重要，但数据库的安全散列功能有限，因此应用程序是更好的选择。

Answer 2

bcrypt 是一种可靠的密码哈希算法。它是由安全专业人员出于安全考虑而创建的。

bcrypt 很慢（这是一件好事，使得彩虹表的创建成本非常高）。您可以使用不同数量的轮数来配置 bcrypt，以根据您使用的任何硬件进行扩展（轮数越多 = 速度越慢）。此外，它会自动处理盐生成，每个哈希有不同的盐（这使得彩虹表攻击几乎不可能，因为bcrypt的缓慢性质以及每个哈希需要一个完整的彩虹表的事实密码）。

bcrypt 的 Java 实现位于 jBCrypt。

Answer 3

由于提出这样的问题，您将面临许多自称安全专家的愤怒。我本人不是安全专家，但我觉得自己有足够的资格在常识的驱动下提出一些建议。根据您希望应用程序的安全程度，有多种方法。

1- 大多数攻击发生在您通过线路传输凭据时。 （中间的人）。因此，您需要确保用户名和密码的传输是安全的。 （ssl 或 HTTP 摘要）。如果安全性非常重要，那么您应该探索是否需要传递用户名\密码。 （通过使用一些基于令牌的身份验证，如 Oauth，而不是用户名和密码）

2- 如果您决定传递用户名和密码，则需要在应用程序范围内缩短密码字符串的生命周期。当然最好的方法是基于LDAP等机制实现身份验证过滤器。大多数 LDAP 存储将允许您存储加密的密码，并允许您通过绑定执行身份验证。（因此您的应用程序永远不会担心身份验证和存储）

3-当然，如果您确实将密码带到应用程序层您仍然需要缩短明文密码的生命周期并使用某种安全的散列算法进行加密。但这种方法以及将密码存储在数据库中（即使以加密形式）并不是那么安全。 （特别是，由于您存储了密码，因此有人可以绕过您的安全层）

因此，总而言之，根据您需要的安全程度，您需要问自己以下问题。

1-您需要发送用户名/密码吗？

2- 您能否确保密码无法通过网络被嗅探？

3-您能否不将身份验证委托给前端过滤器，而不是带到您的应用程序层？