1、哈希运算:即散列函数。它是一种单向密码体制,即它是一个从明文到密文的不可逆的映射,只有加密过程,没有解密过程。同时,哈希函数可以将任意长度的输入经过变化以后得到固定长度的输出。哈希函数的这种单向特征和输出数据长度固定的特征使得它可以生成消息或者数据。建议使用SHA256,SHA512,RipeMD等函数,不使用MD5或SHA1。
2、常见密码攻击方式:字典攻击、暴力破解、查表法、反向查表法、彩虹表(具体参看http://blog.jobbole.com/61872/)
3、系统随机生成salt:在密码中混入一段“随机”的字符串再进行哈希加密,这个被字符串被称作盐值。这使得同一个密码每次都被加密为完全不同的字符串。为了校验密码是否正确,我们需要储存盐值。通常和密码哈希值一起存放在账户数据库中,或者直接存为哈希字符串的一部分。盐值并不需要保密,由于随机化了哈希值,查表法、反向查表法和彩虹表都不再有效。攻击者无法确知盐值,于是就不能预先计算出一个查询表或者彩虹表。这样每个用户的密码都混入不同的盐值后再进行哈希,因此反向查表法也变得难以实施。
盐值应该使用基于加密的伪随机数生成器(Cryptographically Secure Pseudo-Random Number Generator – CSPRNG)来生成。CSPRNG和普通的随机数生成器有很大不同,如C语言中的rand()函数。物如其名,CSPRNG专门被设计成用于加密,它能提供高度随机和无法预测的随机数。我们显然不希望自己的盐值被猜测到,所以一定要使用CSPRNG。(Java:java.security.SecureRandom)
对于每个用户的每个密码,盐值都应该是独一无二的。每当有新用户注册或者修改密码,都应该使用新的盐值进行加密。并且这个盐值也应该足够长,使得有足够多的盐值以供加密。一个好的标准的是:盐值至少和哈希函数的输出一样长;盐值应该被储存和密码哈希一起储存在账户数据表中。
4、加盐函数:加盐可以让攻击者无法使用查表和彩虹表的方式对大量hash进行破解。但是依然无法避免对单个hash的字典和暴力攻击。高端的显卡(GPUs)和一些定制的硬件每秒可以计算数十亿的hash,所以针对单个hash的攻击依然有效。为了避免字典和暴力攻击,我们可以采用一种称为key扩展(key stretching)的技术。
思路就是让hash的过程便得非常缓慢,即使使用高速GPU和特定的硬件,字典和暴力破解的速度也慢到没有实用价值。通过减慢hash的过程来防御攻击,但是hash速度依然可以保证用户使用的时候没有明显的延迟。
key扩展的实现是使用一种大量消耗cpu资源的hash函数。不要去使用自己创造的迭代hash函数,那是不够的。要使用标准算法的hash函数,比如PBKDF2或者bcrypt,scrypt。
5、其他参考资料:
http://en.wikipedia.org/wiki/Rainbow_table
http://project-rainbowcrack.com/table.htm(有一些常见的彩虹表的规格,大小)
http://en.wikipedia.org/wiki/PBKDF2
http://www.openbsd.org/papers/bcrypt-slides.pdf
http://www.tarsnap.com/scrypt/scrypt.pdf
http://codahale.com/how-to-safely-store-a-password/(这篇文章作者详细分析了crypt的优点)
https://tools.ietf.org/html/draft-josefsson-scrypt-kdf-01(scrypt 草案)
https://crackstation.net/hashing-security.htm(介绍了如何正确的存储密码)
http://www.ietf.org/rfc/rfc2898.txt(关于基于密码的鉴权, 提到了盐,PBKDF2,KDF)
http://arstechnica.com/security/2012/08/passwords-under-assault/3/(介绍密码安全)
https://www.schneier.com/blog/archives/2013/06/a_really_good_a.html(关于密码破解的)
https://news.ycombinator.com/item?id=3724560(关于pbkdf2, bcrypt, scrypt的讨论)