近日读了《加盐hash保存密码的正确方式》,在此对此文做些要点记录,以便日后要使用相关知识的时候能够快速定位。
1、文章说到不能使用MD5这中简单的hash算法加密密码,原因在于该算法已经被破解了,应该使用SHA256, SHA512, RipeMD, WHIRLPOOL等函数加盐后加密。
2、破解Hash算法常用的方法有:暴力破解、字典攻击、查表破解、反向查表破解、彩虹表。
3、盐的长度不能太短,经验得出盐的长度跟hash算法得出结果的长度一致较好,比如SHA256的盐为265位(4个字节)为好。
4、应该使用公认的hash算法,不要自己设计hash算法。
5、认为多重hash能提高破解难度,这种想法是错误的。所带来的破解难度只是微乎其微。
6、存密码的一般步骤:
1) 使用CSPRNG生成一个长的随机盐。
2)将密码和盐拼接在一起,使用标准的加密hash函数比如SHA256进行hash。
3) 将盐和hash记录在用户数据库中。
7、取密码的一般步骤:
1) 从数据库中取出用户的盐和hash
2)将用户输入的密码和盐按相同方式拼接在一起,使用相同的hash函数进行hash
3) 比较计算出的hash跟存储的hash是否相同。如果相同则密码正确。反之则密码错误。
8、使用慢速hash函数使得破解更加难。比如:PBKDF2或者bcrypt。
9、使用HMAC哈希函数。