本文探讨了在Java Spring应用中处理密码安全的方法,强调使用经过验证的库而不是自定义实现。推荐的密码哈希算法包括:Argon2id(目前的最佳选择),Scrypt(一个强大的替代方案)和BCrypt(如果前两者不可用)。文章详细介绍了如何使用Spring Security Crypto库和Bouncy Castle进行Argon2id的实施,并提供了Java示例代码。
每当您需要在应用程序中实现密码哈希或散列时,您应该牢记一些最佳实践。
- 永远不要自己实现密码哈希算法——改用经过严格审查的开发人员库!密码学是一个复杂的领域,如果你尝试自己实现一个流行的算法,就会出现很多问题。
- 随着计算机每年变得越来越强大,密码哈希算法(及其参数)需要调整!现代密码哈希算法依赖于您(作为开发人员)来指定他们在计算哈希时应该使用多少资源,并且随着时间的推移,您将需要更新这些参数。掌握此类情况的唯一方法是紧跟最新的安全新闻和趋势。
在决定如何存储敏感密码时,你应该考虑的第一件事是你是否想自己处理认证和授权问题。
有许多服务可以为你解决这个问题。使用认证和授权服务可以消除你在应用程序中安全存储密码的负担。
有许多商业服务,如Auth0和Okta,使之变得简单。只要你选择的供应商支持OpenID Connect等开放标准,你就能轻松地将它们集成到你的Java应用中(例如Spring Boot)。
此外,你的供应商可能也能支持MFA(多因素认证),以进一步提高你的终端用户的安全性。
如果您 确实 需要自己在 Java 应用程序中存储密码,那么本文适合您。
如果您在应用程序中存储用户名和密码,无论您做什么, 都不要 以纯文本形式存储 密码
密码哈希算法可将纯文本密码转换为一串数据,您可以安全地存储在数据库中,并且永远不会被反转(您可以将纯文本密码转换为哈希,但不可能将哈希转换为密码,因此命名为“单向”函数)。
密码哈希算法是专为处理密码而设计的单向函数。
您需要一个 强大的密码散列算法 来处理您的用户密码。一个好的密码散列算法会消耗大量的计算能力和内存。在谈论密码哈希算法时:他们使用的计算资源越多越好!
Argon2id
目前(2022 年)使用的最佳算法是 Argon2id。 Argon2 是一个密钥推导函数,被选为 密码哈希竞赛 的获胜者。它有三个不同的版本:
- Argon2d: 最大限度地抵抗 GPU 破解攻击
- Argon2i: 针对侧信道攻击进行了优化
- Argon2id: 混合版本
最低0.47元/天 解锁文章
786
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
