让我们谈谈密码哈希

最新推荐文章于 2024-01-05 13:44:23 发布
最新推荐文章于 2024-01-05 13:44:23 发布
阅读量1.1k 收藏
点赞数 1
文章标签: 哈希算法 fpga开发 算法
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/allway2/article/details/126732502
版权

按优先顺序,散列密码:

  1. Argon2
  2. scrypt
  3. bcrypt
  4. PBKDF2

不要将密码存储在:

  1. MD5
  2. md5crypt
  3. sha512crypt
  4. sha256crypt
  5. UNIX crypt(3)
  6. SHA-1/2/3
  7. Skein
  8. BLAKE2
  9. 任何通用散列函数。
  10. 任何加密算法。
  11. 你自己的设计。
  12. 纯文本

介绍

除了帐户和密码的不断数据库泄漏之外,加密圈子中经常出现的东西是散列密码。由于“散列密码”一词,可能不太了解的开发人员会想到使用通用的单向固定长度抗冲突加密散列函数,例如 MD5、SHA-1、SHA-256 或 SHA-512,没有考虑这个问题。当然,使用这些函数是有问题的,因为它们很快。事实证明,我们不喜欢快速散列函数,因为密码破解者确实喜欢快速散列函数。他们做得越快,他们就能越早恢复密码。

问题

因此,密码社区没有使用 MD5、SHA-1、SHA-256、SHA-512 等,而是聚集在一起,引入了专门设计的密码散列函数,其中包含自定义工作因素作为成本。另外,密钥派生函数也被设计用于创建加密密钥,其中自定义工作因素也包括在此处作为成本。因此,通过基于密码的密钥派生函数和专门设计的密码散列函数,我们提出了一些您应该使用的算法。

解决方案

这种类型最流行的算法将包括,按照我个人的偏好,从最喜欢到最不喜欢:

  1. Argon2 (KDF)
  2. scrypt (KDF)
  3. bcrypt
  4. PBKDF2 (KDF)

KDF 和密码散列函数之间的唯一区别在于,KDF 的摘要长度可以是任意的,而密码散列函数将具有固定长度的输出。

更新:
Argon2 经受住了时间的考验,应该被视为最佳实践。如果 Argon2 无法部署,scrypt 会提供内存硬度,这使得 ASIC 和 FPGA 无法承受。bcrypt 和 PBKDF2 不提供内存硬度,但为 CPU 提供可调的工作因子。请注意,我曾经提倡 sha256crypt 和 sha512crypt。我不再提供这个建议。看到这个帖子为什么。

很长一段时间以来,我都不喜欢 scrypt 作为密码散列函数。我想我已经改变主意了。尽管 scrypt 对所选择的参数很敏感,并且存在时间内存权衡 (TMTO) 问题,但只要您选择合理的默认值,它仍然被认为是安全的。我还将 bcrypt 放在 Argon2 上,因为 Argon2 最近刚刚被宣布为密码哈希竞赛的获胜者。与所有密码原语一样,我们需要时间来分析、攻击和挑选设计。如果大约 5 年后,它仍然坚固且安全,那么可以推荐它作为生产解决方案。与此同时,这当然值得测试,但可能不适用于生产代码。最后,我更喜欢 sha512crypt 和 sha256crypt 而不是 PBKDF2,主要是因为它们默认包含在每个 GNU/Linux 发行版中,它们基于强大的 SHA-2 散列函数,该函数已经进行了多年和大量的分析,并且与 PBKDF2 不同,您确切知道使用了哪个散列函数。PBKDF2 可以默认使用 SHA-2 函数,也可以使用 SHA-1。你需要检查你的图书馆以确定。

物以类聚,人以群分

无论如何,上述所有函数都包含成本参数,用于控制从密码计算散列所需的时间。成本参数到底是什么并不重要,更重要的是您要确定合适的时间来计算成本并创建散列。这意味着您需要识别您的威胁模型和您的对手。

您会发现自己处于两种常见的场景中,它们是:

  1. 密码存储
  2. 加密密钥

对于密码存储,您的威胁模型很可能是密码数据库泄露到 Internet,而世界各地的密码破解者都在使用数据库中的哈希来恢复密码。因此,您的对手是恶意软件、匿名者和密码破解者。对于加密密钥,您的威胁模型可能是私有加密密钥被泄露和侧信道攻击。因此,您的对手也是恶意软件、糟糕的密钥交换或不受信任的网络。了解您的威胁模型和对手会改变您处理问题的方式。

使用密码存储,您可能正在处理交互式登录,例如通过网站。因此,您可能希望密码散列时间更快,同时仍保持一个工作因素,以阻止对您泄露的数据库进行大规模分布式攻击。可能是 0.5 秒。这意味着如果数据库被泄露,密码破解者每秒最多只能破解 2 个密码。当您将此与 GPU 可以在 Windows NTLM 密码上执行的每秒数百万个哈希值进行比较时,每秒 2 个密码非常有吸引力。对于加密密钥,您可能不需要担心交互式会话,因此花 5 秒钟从密码创建密钥可能不是一件坏事。因此,密钥破解者每次猜测花费 5 秒试图恢复创建加密私钥的密码真的很好。

bcrypt、sha256crypt、sha512crypt 和 PBKDF2

那么,知道工作因素后,上述算法会是什么样子呢?下面,我看一下 bcrypt、sha256crypt、sha512crypt 和 PBKDF2 及其适当的成本。我突出显示了绿色行,其中可能的工作因素可能意味着花费 0.5 秒对密码进行哈希处理,而红色行可能意味着可能的工作因素可能意味着花费 5 整秒来创建基于密码的加密密钥。

请注意,对于 bcrypt,这意味着对于密码散列,因子 13 将提供大约 0.5 秒的成本来散列密码,而因子 16 将使我接近创建基于密码的大约 5 秒的成本钥匙。对于 sha256crypt、sha512crypt 和 PBKDF2,这似乎分别是大约 640,000 和 5,120,000 次迭代。

scrypt

当我们转向 scrypt 时,事情变得更加困难。使用 bcrypt、sha256crypt、sha512crypt 和 PBKDF2,我们的成本完全是 CPU 负载因素。不幸的是,虽然快速 GPU 集群可能存在问题,但它们仍然成为特定算法 FPGA 和 ASIC 的牺牲品。为了解决这个问题,我们还需要包括内存成本,因为这些设备上的内存似乎很昂贵。然而,同时拥有 CPU 和 RAM 成本意味着需要调整多个旋钮。因此,scrypt 的设计者 Colin Percival 决定捆绑 CPU 和 RAM 的成本三个因素:“N”、“r”和“p”。产生的内存使用量计算如下:

以字节为单位的内存 = (N * r * 128) + (r * p * 128)

关于什么是“最佳实践”有很多建议。似乎您至少应该使用 scrypt 具有以下成本因素,它提供 16 MiB 的内存负载:

  • N: 16384 (214)
  • r: 8
  • p: 1

虽然您应该意识到 scrypt 参数的敏感性,但前提是您使用至少 16 MiB 的 RAM,但您并不比其他密码散列函数或 KDF 差。因此,在下表中,我通过调整三个参数来增加散列所需的内存成本。

2016-06-29 更新:我已经在后续帖子中阐明了这些参数,您绝对应该在https://pthree.org/2016/06/29/further-investigation-into-scrypt-and -argon2-密码哈希/

  

因为我只能在这台测试机器中使用单插槽四核 CPU,所以我想将我的“p”成本限制为 1、2 和 4,这些表中显示了这些值。此外,我的 RAM 受到限制,并且不想破坏机器上运行的其他应用程序和服务,因此我将“r”成本限制为 4、8 和 16 乘以 128 字节( 512 字节、1024 字节和 2048 字节)。

有趣的是,Colin Precival 建议 16 MiB (N=16384 (2 14 ), r=8, p=1) 用于交互式登录,16 MiB (N=131072 (2 17 ), r=1, p=1) 用于对称登录密钥推导。如果我的目标是 0.5 秒的密码散列时间,那么我可以将其提高到 256 MiB (N=65536 (2 16 ), r=8, p=1) 或 2 GiB (N=2097152 (2 21 ), r =8, p=1),如果针对对称密钥派生的目标只是略多于 5 秒。

Argon2

最后,我们看看 Argon2。Argon2 有两种版本——Argon2d 和 Argon2i;第一个是数据(d)依赖,后者是数据(i)独立。前者应该能够抵抗 GPU 破解,而后者应该能够抵抗侧信道攻击。换句话说,Argon2d 适用于密码散列,而 Argon2i 适用于加密密钥派生。但是,无论 Argon2d 还是 Argon2i,成本参数的表现都是一样的,所以我们在这里将它们视为一个单元。

与 scrypt 一样,Argon2 也有 CPU 和 RAM 成本。但是,两者都是分开处理的。CPU 成本是通过标准迭代处理的,例如 bcrypt 或 PBKDF2,而 RAM 成本是通过专门膨胀内存来处理的。当我开始使用它时,我发现仅仅操纵迭代感觉非常像 bcrypt,但我也可以通过操纵内存来影响计算散列所需的总时间。将两者结合起来时,我发现迭代对成本的影响比 RAM 更大,但两者在计算时间上都有很大的发言权,如下表所示。与 scrypt 一样,它也有并行化成本,定义了您想要解决问题的线程数:

  

 

除了迭代次数和处理器计数成本之外,请注意 256 KiB 和 16 MiB 之间的 RAM 成本。随着我们的 RAM 膨胀,我们可以降低迭代成本。由于我们需要更多线程来处理哈希,我们可以进一步减少迭代计数。无论如何,我们试图将 0.5 秒用于交互式密码登录,将整整 5 秒用于基于密码的加密密钥派生。

结论

那么,有什么意义呢?在散列密码时,无论是将密码存储在磁盘上,还是创建加密密钥,您都应该使用专门针对此问题设计的基于密码的密码原语。你不应该使用任何类型的通用散列函数,因为它们的速度。此外,您不应该推出自己的“密钥拉伸”算法,例如递归地散列您的密码摘要和其他输出。

请记住,如果该算法是专门为处理密码而设计的,并且成本足以满足您的需求、威胁模型和对手,那么您就做得很好。真的,你不能对它们中的任何一个出错。只要避免任何不是专门围绕密码设计的算法。目标是通过肥胖获得安全

最佳实践?按优先顺序,使用:

  1. scrypt
  2. bcrypt
  3. Argon2
  4. sha512crypt
  5. sha256crypt
  6. PBKDF2

不使用:

  1. MD5
  2. md5crypt
  3. UNIX crypt(3)
  4. SHA-1/2/3
  5. Skein
  6. BLAKE2
  7. 任何通用散列函数。
  8. 任何加密算法。
  9. 你自己的设计。
  10. 纯文本
allway2
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
简单认识一下PBKDF2、bcrypt、scrypt等是个啥?
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
01-31 828
加密算法强度应该是scrypt>bscypt>pbkdf2>sha256(standard)性能的话正好相反.采用PBKDF2、bcrypt、scrypt等算法可以有效抵御彩虹表攻击,即使数据泄露,最关键的“用户密码”仍然可以得到有效的保护,黑客无法大批量破解用户密码,从而切断撞库扫号的根源。
密码学概述及其发展简史 【一】
smilejiasmile的博客
04-18 1399
1 密码学 1.1 什么是密码密码学是保障信息安全的核心技术,信息安全是密码学研究与发展的主要动力和目的。 密码学能做什么? 机密性: 如何使得某个数据自己能看懂,别人看不懂 认证: 如何确保数据的正确来源,如何保证通信实体的真 实性 完整性: 如何确保数据在传输过程中没有被删改 不可否认性: 如何确保用户行为的不可否认性 密码算法 密码算法的基本概念和术语包括: 明文(M)、密文©、密钥 (k 秘密参数)、加密(E)、解密(D)函数。 算法基本约束和要求:对使用者算法可逆恢复成
密码学之哈希
不思量
11-04 3091
原文链接:https://zhuanlan.zhihu.com/p/44544072 哈希(hash) 哈希函数是一种函数。 举一个简单的例子来说明它的用法。譬如学校里以学生名字为索引建了一张表,存储学生的信息。同时希望在查找的时候能够高效率地查找到学生。可以怎么实现呢?(如果以学号为索引,可以一次查找就找到;以名字为索引纯粹是举例;但是在实际中有很多以名字为索引的情况,譬如Web开发中,表单fo...
一文详解密码学中的Hash算法
二牛的博客
05-21 6714
上一篇文章里面,我们介绍了随机数以及随机数中的应用,可以看到密码学中到处都有随机数的身影,这种作为大部分密码算法的基本组成被称之为 “加密基元“。今天我们一起来看一下另外一个加密基元 - 密码学Hash算法
密码为什么要用Hash值储存?了解Hash算法原理
m0_69916115的博客
08-12 2270
Hash算法哈希算法,Hash算式,散列算法,消息摘要算法)将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值。哈希值是一段数据唯一且极其紧凑的数值表示形式。如果散列一段明文而且哪怕只更改该段落的一个字母,随后的哈希都将产生不同的值。要找到散列为同一个值的两个不同的输入,在计算上是不可能的,所以数据的哈希值可以检验数据的完整性。一般用于快速查找和加密算法。简单来说就是,哈希(Hash)算法,即散列函数。...
采用SHAA对密码进行加密
tan554334064的博客
08-12 603
/**   * 采用SHAA对密码进行加密  *   */ public class ShaUtil {     /***       * SHA加密 生成40位SHA码      * @param 待加密字符串      * @return 返回40位SHA码      */     public static String shaEncode(String inStr) t
今天谈谈密码学及SOC
Lincoln18516340268的博客
02-25 671
      很多人对密码学这个词很陌生,其实国务院在1999年10月7号就发布过《商用密码管理条例》,共7章,包括总则、科研生产管理,销售管理,使用管理,安全保密管理、罚则,附则等。详细阐述了密码的管理细则。       密码分为明文和密文。       明文指消息的初始形式、密文指加密后的形式。例如明文记为P,且P为字符序列,P=[P1,P2,…,Pn],密文记为C,C=[C1,C2,…,C...
谈谈你对密码学的认识和理解
06-07
密码学主要包括三大类算法:对称加密算法、非对称加密算法哈希算法。对称加密算法指加密和解密使用同一个密钥的算法,其加密速度快,但密钥的管理和分发比较困难。非对称加密算法则使用一对密钥,公钥可公开,私钥...
密码
02-12
首先,让我们讨论密码存储。在Java中,直接保存用户的明文密码是非常危险的,因为一旦数据泄露,攻击者就能轻易获取用户信息。因此,通常采用哈希(Hash)和加盐(Salting)的方式对密码进行加密存储。例如,可以...
密码学原理
04-11
接着,我们谈谈哈希函数,它是一种单向函数,将任意长度的数据转化为固定长度的摘要。常见的哈希函数有MD5(Message-Digest Algorithm 5)和SHA系列(Secure Hash Algorithm)。哈希函数在数字签名、消息认证码(MAC...
bcrypt-pbkdf-基于密码bcrypt-pbkdf密钥派生功能-Rust开发
05-27
RustCrypto:密码哈希用纯Ru编写的密码哈希算法(也称为基于密码的密钥派生函数)的集合RustCrypto:密码哈希用纯Rust编写的密码哈希算法(也称为基于密码的密钥派生函数)的集合。 支持的算法名称Crates.io文档PBKDF2 scrypt bcrypt-pbkdf许可您可以选择根据Apache许可,2.0版MIT许可中的任何一个许可使用所有箱子。 稿件除非您明确声明,否则,您有意按定义将任何稿件提交给您的作品
Linux 服务器安全策略技巧:使用 BcryptArgon2 进行密码哈希
最新发布
wjianwei666的专栏
01-05 610
在Linux服务器上使用BcryptArgon2进行密码哈希是保护服务器和用户数据安全的重要策略。BcryptArgon2都是强大的密码哈希算法,具有高度的安全性和抗攻击能力。选择合适的算法取决于服务器的硬件条件和安全需求。无论选择哪种算法,都应该遵循最佳实践来确保密码的安全性。
Bcrypt加密详解
CrtLife的博客
05-17 5835
Bcrypt介绍 Bcrypt是单向Hash加密算法,类似Pbkdf2算法 不可反向破解生成明文。 在node中的使用 // npm bcrypt // 导入bcrypt const bcrypt = require('bcrypt'); async function run () { // 生成随机字符串 // genSalt方法接收一个数值作为参数 // 数值越大 生成的随机字符串复杂度越高 // 数值越小 生成的随机字符串复杂度越低 // 默认值是 10 // 返回生成的随机字符串
Web服务的性能,和BCrypt性能问题的解决方法
weixin_30323961的博客
12-25 659
在昨天的研究中,发现BCrypt最大的隐患在于性能。BCrypt的安全性是通过牺牲性能来获取的。BCrypt比传统hash+salt要安全一万倍,但是代价是使用BCrypt做认证对比密码和密文时候,性能也比hash+salt要慢一万倍。 所以,我得出一个结论。如果使用传统hash+salt需要N台认证服务器的话,那用BCrypt就需要添加10000*N台服务器才能达到同样的性能。比如一个邮件...
Eureka 认证性能问题
搞事情的博客
07-29 622
很久没有更新博客了,实在太忙。 最近升级Eureka 发现 CPU 经常跑满,导致很多Eureka Client 实例连接 Eureka Server 出现异常。跟了一下代码发现罪魁祸首竟然是 Spring Security 的 PasswordEncoder 出现性能问题; 默认 PasswordEncoder 是BCryptPasswordEncoder 每次encode 需要几百毫秒,慢的时候甚至超过一秒。所以觉得降低安全性使用MessageDigestPasswordEncoder("MD5..
Spring Security使用argon2加密
Alex_xlin的博客
03-11 764
Spring Security默认使用bCryptPasswordEncoder进行加密,因项目需要,使用内置的argon2PasswordEncoder进行加密,经测试比bcrypt算法要慢。需要引入Bouncy Castle Provider依赖
Java 安全加密算法 - MD5,SHA256,SHA512,PBKDF2,BCrypt,SCrypt
开发猫
10-19 8264
Java Secure Hashing - MD5,SHA256,SHA512,PBKDF2,BCrypt,SCrypt 深入学习Java Secure Hashing算法。安全密码哈希是施加于用户提供的密码一定的算法和操作,其通常非常弱,容易猜测之后获得的字符的加密序列。 Java中有许多这样的哈希算法可以证明对密码安全性非常有效。 请记住,一旦生成此密码哈希并将其存储在数据库中,您...
bcrypt加密算法
热门推荐
把事情做到极致
02-18 2万+
前言 我在公司内部做了一个“接口管理系统”(DRIM),这个系统的用户认证需要与公司已有的代码管理平台gitlab保持一致,采用的方式是DRIM直接读gitlab的数据库来做认证,所以需要知道gitlab是如何对密码做加密的。 过程 1.寻找数据库 这个过程很简单,很快就找到了其users表,里面有 encrypted_password一列,用来展示密码加密后的字符串。 2.寻找加密算法
Ubuntu中密码哈希值怎么翻译
07-15
在Ubuntu中,密码哈希值通常使用加密算法来存储。这些哈希值是通过将用户密码转换为不可逆的字符串来创建的,以增加安全性并保护用户的密码密码哈希值无法被还原回原始密码。 通常,密码哈希值使用的是一种称为...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值