logo标签列表

如何正确存储PBKDF2密码哈希

phpencryptionhashpasswordspbkdf2
6
我一直在研究正确的密码哈希/加密方式,并将其存储在数据库中。我知道盐和哈希,所以我四处寻找,PBKDF2似乎是一个不错的选择。因此,我找到了这个网站,它给出了一个很好的教程,以及适用于PHP的PBKDF2改编版(这是我用于我的网站的语言)。
因此,我已经设置了我的网站使用这些函数来生成/创建密码,但正如您在以下代码中看到的: 
function create_hash($password) {
// format: algorithm:iterations:salt:hash
$salt = base64_encode(mcrypt_create_iv(PBKDF2_SALT_BYTES, MCRYPT_DEV_URANDOM));
return PBKDF2_HASH_ALGORITHM . ":" . PBKDF2_ITERATIONS . ":" .  $salt . ":" .
    base64_encode(pbkdf2(
        PBKDF2_HASH_ALGORITHM,
        $password,
        $salt,
        PBKDF2_ITERATIONS,
        PBKDF2_HASH_BYTES,
        true
    )); }
盐是在create_hash函数中生成的,并存储在最终哈希中,看起来像sha256:1000:salt:hashed_password。这就是我需要存储在数据库中的内容,由于盐包含在结果哈希中,因此我不需要将其添加到数据库中。然而,在使用此方法生成了一些测试用户之后,我想知道在数据库中将PBKDF2设置包含在哈希密码中是否真的是一件好事。我的新手自己认为,黑客在破解我的数据库后,会看到这些sha256:1000:salt:password东西,并找出每个部分的含义,这将极大地帮助他的攻击,不是吗?
所以我稍微修改了一下,使用外部生成并存储在数据库中的盐,在运行它通过PBKDF2之前将盐包含在密码中。然后我做同样的事情来比较给定的密码与我在登录时在数据库中拥有的密码,这很有效。我唯一关心的是,使用128位盐,生成的密码哈希值只有不到50个字符,这似乎不对。
以下是我的当前代码:
define("PBKDF2_HASH_ALGORITHM", "sha256");
define("PBKDF2_ITERATIONS", 10000);
define("PBKDF2_SALT_BYTES", 128);
define("PBKDF2_HASH_BYTES", 24);

define("HASH_SECTIONS", 4);
define("HASH_ALGORITHM_INDEX", 0);
define("HASH_ITERATION_INDEX", 1);
define("HASH_SALT_INDEX", 2);
define("HASH_PBKDF2_INDEX", 3);

function create_hash($password, $salt)
{
    // format: salthash
    return  
        base64_encode(pbkdf2(
            PBKDF2_HASH_ALGORITHM,
            $password,
            $salt,
            PBKDF2_ITERATIONS,
            PBKDF2_HASH_BYTES,
            true
        ));
}

function validate_password($password, $salt, $good_hash)
{
    $pbkdf2 = base64_decode($good_hash);
    return slow_equals(
        $pbkdf2,
        pbkdf2(
            PBKDF2_HASH_ALGORITHM,
            $password,
            $salt,
            PBKDF2_ITERATIONS,
            PBKDF2_HASH_BYTES,
            true
        )
    );
}

// Compares two strings $a and $b in length-constant time.
function slow_equals($a, $b)
{
    $diff = strlen($a) ^ strlen($b);
    for($i = 0; $i < strlen($a) && $i < strlen($b); $i++)
    {
        $diff |= ord($a[$i]) ^ ord($b[$i]);
    }
    return $diff === 0; 
}

function pbkdf2($algorithm, $password, $salt, $count, $key_length, $raw_output = false)
{
    $algorithm = strtolower($algorithm);
    if(!in_array($algorithm, hash_algos(), true))
        die('PBKDF2 ERROR: Invalid hash algorithm.');
    if($count <= 0 || $key_length <= 0)
        die('PBKDF2 ERROR: Invalid parameters.');

    $hash_length = strlen(hash($algorithm, "", true));
    $block_count = ceil($key_length / $hash_length);

    $output = "";
    for($i = 1; $i <= $block_count; $i++) {
        // $i encoded as 4 bytes, big endian.
        $last = $salt . pack("N", $i);
        // first iteration
        $last = $xorsum = hash_hmac($algorithm, $last, $password, true);
        // perform the other $count - 1 iterations
        for ($j = 1; $j < $count; $j++) {
            $xorsum ^= ($last = hash_hmac($algorithm, $last, $password, true));
        }
        $output .= $xorsum;
    }

    if($raw_output)
        return substr($output, 0, $key_length);
    else
        return bin2hex(substr($output, 0, $key_length));
}

我的担忧是关于密码保存格式的,这种方式有意义吗?或者只是同样的事情而已,因为一旦我的盐被破解,黑客仍然可以通过暴力破解的方式攻击数据库?谢谢,并对问题的长度表示歉意。
3
参考这些答案以更好地理解隐藏盐的无用性 here,使用bcrypt(因为在您提供的链接中没有实现)here,以及如何使用哈希来保护密码的最佳实践here。最后,永远不要低估你的对手! - Romain
1
@Romain 这就是我一直在寻找的答案。我现在已经做了一个,但你也可以自己回答。 - Alex
3个回答
4
我的唯一担忧是,使用128位盐值后,生成的密码散列仅有50个字符长度,这似乎不对劲。
生成的散列长度与盐值、密码和迭代次数的大小完全无关。现代安全散列算法(如sha256)的输出始终具有相同的长度,无论输入的大小如何。零长度的输入与25TB输入的输出长度相同。
或者它最终只会变成同样的事情,因为将我的盐放在数据库中后,一旦被破解,黑客仍然可以通过暴力破解来获取密码?
将盐分成两部分会增加代码复杂性(通常是不好的)。根据您存储盐片段的方式,您可能会在某些情况下获得一些好处。例如,如果静态盐片段存储在数据库之外,则数据库转储将无法为攻击者提供足够的信息,以便对数据库中的密码哈希执行离线攻击。
如果盐片段分开存储,则获得的防御深度很小。是否超过了复杂性成本取决于判断,但我认为更好的做法是花时间查找XSS和SQL注入漏洞(攻击者通常获取上述数据库转储的方式),并使用SSL和证书或强密码来保护系统的各个组件之间的连接。
2

从@Romain的评论中回答了自己的问题。

请在这里阅读有关隐藏盐值无用性的良好理解答案,使用bcrypt(因为在您的链接中未给出实现)请在此处,以及如何使用散列来保护密码的最佳实践,请在此处。最后,不要低估您的对手!

此外(由于这有点老),bcrypt确实比pbkdf2“更好”,但scrypt更好!

0

有几件事情需要注意,首先,你应该使用一个慢速哈希函数,如bcrypt,而不是SHA256;其次,你可能根本不应该存储密码(而是使用openId或类似的东西)。

话虽如此,你需要为每个用户使用不同的盐,可以将它们存储在同一行甚至同一字段中,或者存储在完全不同的数据库中。你愿意付出多少努力取决于你和你的性能要求。

除了为每个用户/密码设置单独的盐之外,你还可以考虑一个针对每个应用程序的盐,这个盐应该保存在任何数据库之外。

你不应该仅使用每个应用程序的盐 而不 使用特定于密码的盐,因为攻击者可以搜索重复的哈希值并利用该信息攻击最易受攻击的密码(以及找到两个或更多用户帐户,工作量相同)。 - Maarten Bodewes
@owlstead:是的,我是指在密码中额外添加盐。我会编辑一下,让它更清楚。谢谢。 - jmoreno
2
这个回答有些令人困惑。在使用PBKDF2时使用SHA256没有任何问题。PBKDF2构造增加了缓慢性(它相当于bcrypt;“1000”部分意味着PBKDF2调用了1000次SHA256)。 - andrew cooke
PBKDF2不等同于bcrypt--它们有相似之处,但是运行SHA256 1000次并不等同于运行bcrypt 1000次。 - jmoreno
1
如果你比较PBKDF2和bcrypt,那么请考虑在PBKDF2的一个单独调用中发生的1000x SHA256调用(或者你采用的任何哈希算法/迭代次数)。 - Robert
@Robert:是的,在给定的系统上,你可以让它们花相等的时间,但不能让它们在相同的迭代次数下花费相等的时间。SHA256比BCRYPT资源占用更少,并且可以通过使用GPU大大加速。由于你无法控制攻击者的机器,因此最好使用一种哈希函数,使其难以使用硬件加速。BCRYPT被设计为慢速(内存访问),SHA256被设计为快速(简单的位移和异或)。对于密码,BCRYPT更好(尽管现在可能更好地使用scrypt)。 - jmoreno
网页内容由stack overflow 提供, 点击上面的
可以查看英文原文,
原文链接