使用随机盐改进密码散列

Question

我正在创建一个网站，并尝试决定如何加密用户密码以将其存储在 SQL 数据库中。

我意识到使用简单的 md5（密码）是非常不安全的。我正在考虑使用 sha512(password.salt)，并且我一直在研究生成有用盐的最佳方法。 我读过很多文章，指出盐应该尽可能随机，以向散列添加熵，这看起来是个好主意。但是：

• 您需要将随机盐与散列一起存储
• ，因为攻击者以某种方式访问​​了您的散列密码（并试图将散列反转为纯文本），这意味着他可能转储了您的数据库，然后访问了您的随机盐也是

数据库中哈希旁边看起来奇怪的值是盐，这不是很明显吗？如果攻击者可以访问盐和哈希值，那么如何更安全？

有人在该领域有专业知识吗？谢谢！

Answer 1

攻击者“被允许”知道salt - 您的安全性设计必须确保即使知道salt，它仍然是安全的。

盐有什么作用？

盐有助于使用预先计算的“彩虹表”来防御暴力攻击。
对于攻击者来说，盐使得暴力破解的成本更高（在时间/内存方面）。
计算这样一张表的成本很高，并且通常仅在可用于多个攻击/密码时才进行。
如果您对所有密码使用相同的盐，攻击者可以预先计算这样的表，然后将您的密码暴力破解为明文...
只要您为每个要存储散列的密码生成一个新的（最佳加密强度）随机盐，就没有问题。

如果您想进一步增强安全性
您可以多次计算哈希值（哈希哈希值等） - 这不会花费您太多费用，但它会使暴力攻击/计算“彩虹表”更加昂贵......请不要发明自己- 有经过验证的标准方法可以做到这一点，例如参见 http://en.wikipedia.org/wiki/PBKDF2和 http://www.itnewb.com/tutorial/使用 RSA-PBKDF2 标准加密密码与 PHP-for-Storage

注意：

现在使用这样的机制强制，因为“CPU 时间”（可用于彩虹表/暴力破解等攻击）变得越来越广泛（例如，亚马逊的云服务跻身最快的 50 名）世界各地的超级计算机，任何人都可以以相对较小的金额使用）！

Answer 2

假设攻击者以某种方式访问​​了您的哈希密码
（并试图将哈希值反转为纯文本），这意味着他
可能转储了你的数据库，然后访问了你的随机盐
还有

目的是击败“彩虹表”：

http://en.wikipedia.org/wiki /Rainbow_table

在“防御彩虹表”部分中了解为什么足够长的盐会击败任何彩虹表。

如何更安全？

它曾经更安全，因为它迫使攻击者尝试一种当时成本非常高的暴力方法，而不是立即查看预先计算的彩虹表。如果你有 64 位 salt，攻击者需要有 2^64 个预先计算的彩虹表，而不是一个……换句话说：它使彩虹表变得毫无用处。

但请注意，现代 GPU 每秒可以破解数十亿个密码，这使得攻击者存储巨大的彩虹表几乎毫无意义（不是存储数十亿个哈希值，而是只需在几秒钟内计算它们）。

现在你想使用 PBKDF2 或 scrypt 之类的东西来存储你的“密码”。

Answer 3

散列加盐密码的强度取决于以下所有因素：

• 散列算法的强度
• 加盐的随机性
• 密码的随机性

您的系统的强度与上述中最弱的一个一样强。

Answer 4

以下问题来自姊妹网站 Security StackExchange。他们讨论了哈希、盐、PBKDF2、bcrypt、scrypt 和其他一些东西。

• 如何安全地散列密码？
• 安全专家是否推荐使用 bcrypt 来存储密码？

StackOverflow 上也有一些之前的讨论：

BCrypt 好吗C# 中使用的哈希算法？我在哪里可以找到它？

简而言之，盐是一种保护措施，它使得在发生泄露时需要很长时间才能恢复密码，就像哈希一样。如果攻击一个密码，盐不会产生任何影响。如果尝试使用预先计算的字典或同时测试多个密码，则每个条目使用不同的盐将大大增加所需的工作量，并且通常会使生成合适的彩虹表变得不可行。

Answer 5

这是一篇关于密码学的好文章：http://www. javacodegeeks.com/2012/02/introduction-to-strong-cryptography-p1.html

请参阅哈希算法的实际使用、场景部分1 对于盐的讨论。

我强烈建议使用 http://docs.oracle.com /javase/6/docs/api/java/security/SecureRandom.html 生成盐