import string
import secrets
length = 15
Choose wide set of characters, but consider what your system can handle
alphabet = string.ascii_letters + string.digits + string.punctuation
password = ‘’.join(secrets.choice(alphabet) for i in range(length))
使用上述代码生成的密码将很强,但很难记住。如果它只是一个初始的、临时的密码或短暂的令牌,那么就可以了,但是如果用户应该使用更长的密码,那么使用密码就更合适了。
我们可以像上面使用简单的密码那样构建一个密码生成器,但是如果有可用的库,为什么还要麻烦呢?这个图书馆叫做xkcdpass后著名XKCD关于密码强度,它所做的正是漫画所描述的–产生了由文字组成的强大的密码:
pip install xkcdpass
from xkcdpass import xkcd_password as xp
word_file = xp.locate_wordfile()
words = xp.generate_wordlist(wordfile=word_file, min_length=5, max_length=10)
for i in range(4):
print(xp.generate_xkcdpassword(words, acrostic=“python”, numwords=6, delimiter=“*”))
punchyesterdaythrowbackheavinessovernight*numbing
plethorayesterdaythighhandlebaroutmost*natural
pyromaniayearlytwistyhyphenoverstuff*nuzzle
pandemicyearlytheologyhatchingoverlaid*neurosis
这个片段首先在您的系统中找到一个单词/字典文件,例如/usr/dict/words并选择指定长度的所有单词,然后从其中生成用于生成密码短语的单词列表。生成器本身有一些参数,我们可以使用这些参数来自定义密码短语。除了明显的字数和长度外,它还有
肢端
参数,哪个单词的字符将用作密码中单词的首字母(听起来很复杂?)好吧,参见上面的密码示例)。
如果您真的想自己构建它,而不是将依赖项添加到您的项目中,您可以在Python文档 .
散列
==
现在我们已经向用户询问了密码,或者为他们生成了密码,我们该如何处理它呢?我们可能希望将其存储在数据库中的某个地方,但您可能(希望)知道,您不应该以明文格式存储密码。那是为什么?
那么,密码不应该以可恢复的格式存储,无论是纯文本还是加密的。它们应该使用加密强的单向函数进行散列。这样,如果有人掌握了数据库中的密码,他们将很难恢复任何实际的密码,因为从散列中恢复任何密码的唯一方法是强行–也就是说–使用可能的明文密码,用相同的算法对它们进行散列,并将结果与数据库中的条目进行比较。
为了让蛮力变得更难,另外
食盐
应该用。SALT是存储在散列密码旁边的随机字符串。在散列之前,它会被附加到密码中,这使得它更加随机,因此很难猜测(使用彩虹桌 ).
然而,由于现代硬件每秒可尝试数十亿次散列,因此,仅凭密码难以猜测是不够的。
慢的
散列函数用于密码散列,使得攻击者强行使用密码的效率要低得多。
(注:以上所述大大简化了使用这些散列函数的逻辑和原因。有关更多深思熟虑的解释,请参见文章 .)
有相当多的库和单独的散列算法,但上述要求大大缩小了我们的选择范围。在Python中进行散列的解决方案应该是passlib因为它提供了正确的算法,以及高级接口,即使是那些对密码学不太精通的人也可以使用。
pip install passlib
from passlib.hash import bcrypt
from getpass import getpass
print(bcrypt.setting_kwds)
(‘salt’, ‘rounds’, ‘ident’, ‘truncate_error’)
print(bcrypt.default_rounds)
12
hasher = bcrypt.using(rounds=13) # Make it slower
password = getpass()
hashed_password = hasher.hash(password)
print(hashed_password)
$2b 13 13 13H9.qdcodBFCYOWDVMrjx/uT.fbKzYloMYD7Hj2ItDmEOnX5lw.BX.
_// _/___________/
Alg Rounds Salt (22 char) Hash (31 char)
print(hasher.verify(password, hashed_password))
True
print(hasher.verify(“not-the-password”, hashed_password))
False
在我们使用的片段中bcrypt作为我们选择的算法,因为它是最流行和测试最充分的哈希算法之一。首先,我们检查它的可能设置并检查算法使用的默认轮数。然后修改
哈希尔
使用更多的回合(成本因素)使哈希速度变慢,因此哈希更难破解。这个数字应该是最大的,不会给您的用户造成不可容忍的延迟(~300 ms)。passlib定期更新默认循环值,因此不一定需要更改此值。
在HASHER准备就绪后,我们提示用户输入密码并将其散列。此时,我们可以将其存储在数据库中,为了演示起见,我们继续使用原始明文密码验证它。
从上面的代码中,我们可以看到passlib归结为hash和modify我们算法选择的方法。然而,如果你想对计划、回合等有更多的控制权,那么你可以使用CryptContext班级:
from passlib.context import CryptContext
ctx = CryptContext(schemes=[“bcrypt”, “argon2”, “scrypt”],
default=“bcrypt”,
bcrypt__rounds=14)
password = getpass()
hashed_password = ctx.hash(password)
print(hashed_password)
$2b 14 14 14pFTXqnHjn91C8k8ehbuM.uSJM.H5S0l7vkxE8NxgAiS2LiMWMziAe
print(ctx.verify(password, hashed_password))
print(ctx.verify(“not-the-password”, hashed_password))
此上下文对象允许我们处理多个方案、设置默认值或配置成本因素。如果您的应用程序身份验证很简单,那么这可能是不必要的,但是如果您需要使用多个散列算法、不推荐它们、重新哈希哈希或类似的高级任务的能力,那么您可能需要查看全文。CryptContext整合补习 .
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数Python工程师,想要提升技能,往往是自己摸索成长或者是报班学习,但对于培训机构动则几千的学费,着实压力不小。自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年Python开发全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友,同时减轻大家的负担。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上Python开发知识点,真正体系化!
由于文件比较大,这里只是将部分目录大纲截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且后续会持续更新
如果你觉得这些内容对你有帮助,可以添加V获取:vip1024c (备注Python)
做了那么多年开发,自学了很多门编程语言,我很明白学习资源对于学一门新语言的重要性,这些年也收藏了不少的Python干货,对我来说这些东西确实已经用不到了,但对于准备自学Python的人来说,或许它就是一个宝藏,可以给你省去很多的时间和精力。
别在网上瞎学了,我最近也做了一些资源的更新,只要你是我的粉丝,这期福利你都可拿走。
我先来介绍一下这些东西怎么用,文末抱走。
(1)Python所有方向的学习路线(新版)
这是我花了几天的时间去把Python所有方向的技术点做的整理,形成各个领域的知识点汇总,它的用处就在于,你可以按照上面的知识点去找对应的学习资源,保证自己学得较为全面。
最近我才对这些路线做了一下新的更新,知识体系更全面了。
(2)Python学习视频
包含了Python入门、爬虫、数据分析和web开发的学习视频,总共100多个,虽然没有那么全面,但是对于入门来说是没问题的,学完这些之后,你可以按照我上面的学习路线去网上找其他的知识资源进行进阶。
(3)100多个练手项目
我们在看视频学习的时候,不能光动眼动脑不动手,比较科学的学习方法是在理解之后运用它们,这时候练手项目就很适合了,只是里面的项目比较多,水平也是参差不齐,大家可以挑自己能做的项目去练练。
(4)200多本电子书
这些年我也收藏了很多电子书,大概200多本,有时候带实体书不方便的话,我就会去打开电子书看看,书籍可不一定比视频教程差,尤其是权威的技术书籍。
基本上主流的和经典的都有,这里我就不放图了,版权问题,个人看看是没有问题的。
(5)Python知识点汇总
知识点汇总有点像学习路线,但与学习路线不同的点就在于,知识点汇总更为细致,里面包含了对具体知识点的简单说明,而我们的学习路线则更为抽象和简单,只是为了方便大家只是某个领域你应该学习哪些技术栈。
(6)其他资料
还有其他的一些东西,比如说我自己出的Python入门图文类教程,没有电脑的时候用手机也可以学习知识,学会了理论之后再去敲代码实践验证,还有Python中文版的库资料、MySQL和HTML标签大全等等,这些都是可以送给粉丝们的东西。
这些都不是什么非常值钱的东西,但对于没有资源或者资源不是很好的学习者来说确实很不错,你要是用得到的话都可以直接抱走,关注过我的人都知道,这些都是可以拿到的。
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
丝们的东西。
这些都不是什么非常值钱的东西,但对于没有资源或者资源不是很好的学习者来说确实很不错,你要是用得到的话都可以直接抱走,关注过我的人都知道,这些都是可以拿到的。
一个人可以走的很快,但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎扫码加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
[外链图片转存中…(img-i1drdmdI-1712701051365)]