python安全加密

规则

1.禁止使用私有算法和弱加密算法(比如DES和MD5)

2.使用安全随机数secrets.SystemRandom

3.基于哈希算法的口令安全存储必须加入盐值(salt)

Hmac

1.背景

通过哈希算法,我们可以验证一段数据是否有效,方法就是对比该数据的哈希值,例如,判断用户口令是否正确,我们用保存在数据库中的password_sha256对比计算sha256(password)的结果,如果一致,用户输入的口令就是正确的

2.存在的问题

黑客可以通过彩虹表根据哈希值反推原始口令

3.解决办法

计算哈希的时候,不能仅针对原始输入计算,需要增加一个salt来使得相同的输入也能得到不同的哈希

4.优化方法

Hmac算法(Keyed-Hashing for Message Authentication密钥相关的哈希运算消息认证码)它通过一个标准算法,在计算哈希的过程中,把key混入计算过程中.和我们自定义的加salt算法不同,Hmac算法针对所有哈希算法都通用,无论是MD5还是SHA-1.采用Hmac替代我们自己的salt算法,可以使程序算法更标准化,也更安全.Python自带的hmac模块实现了标准的Hmac算法

import hmac
import secrets
import hashlib
import base64


def safe_random():
    my_random = secrets.SystemRandom()
    return [chr(my_random.randint(48, 122)) for i in range(20)]


def hmac_md5(key, s):
    return base64.b64encode(hmac.new(key.encode('utf-8'), s.encode('utf-8'), digestmod=hashlib.sha256).digest())


class User(object):
    def __init__(self, username, password):
        self.username = username
        self.key = ''.join(safe_random())
        self.password = hmac_md5(self.key, password)


def login(username, password):
    db = {
        'michael': User('michael', '123456'),
        'bob': User('bob', 'abc999'),
        'alice': User('alice', 'alice2008')
    }
    user = db[username]
    if user.password == hmac_md5(user.key, password):
        print(f"{username} password is {password}")
    else:
        print(f"{username} password is not {password}")


if __name__ == '__main__':
    login('michael', '123456')
    login('bob', 'abc999')
    login('alice', 'alice2008')
    login('michael', '1234567')
    login('bob', '123456')
    login('alice', 'Alice2008')
    print('ok')