散列算法是单向函数。他们采用任何字符串并将其变成固定长度的“指纹”,该指纹无法反转。这意味着,如果数据库中的数据受到破坏,则黑客无法很好地获得用户密码,因为用户密码从来没有以哈希表的形式存储在驱动器上。使用哈希的网站通常具有以下工作流程:
1. 用户创建一个帐户
2. 他们的密码被散列并存储在数据库中
3. 当用户尝试登录时,将其输入密码的哈希值与数据库中存储的密码进行比较
4. 如果哈希匹配,则用户可以访问该帐户。
5. 如果不是,则会发回一般错误消息,例如“输入的无效凭据”,这样黑客就无法将错误具体跟踪到用户名或密码。
hash("hello")=2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824
hash("hellu")=3937f988aeb57b6fd75b9c71bf17b9658ec97823bab613df438389b0c896b724
hash("danny")=668e2b73ac556a2f051304702da290160b29bad3392ddcc72074fefbee80c55a
注意:仅安全或加密哈希函数可用于密码哈希。
令人遗憾的是,仅对密码进行哈希加密并不能确保安全性。
破解哈希:蛮力和字典攻击
解密哈希的最简单方法是猜测密码。这样做的方法是猜测用户密码,对猜测值进行哈希处理,然后将其与您要解决的实际密码的哈希值进行比较。如果两个哈希值匹配,则未加密的猜测版本就是正确的密码。
一个蛮力攻击经历给予一定的字符长度的每一个可能的组合。即使他们最终会100%破解任何给定的密码,但由于此方法的计算量很大,因此很难使用该方法。使用蛮力破解某些长度甚至很短的密码可能要花费数千年的时间。
Tryingaaa:failed
Tryingaab:failed
Tryingaac:failed
...
Tryingacb:failed
Tryingacc:success
字典攻击使用的文件包含可能是已使用密码的常用单词,短语或密码。还有,你可以找到数据库是按住顶部100000最常用的密码。攻击会对这些密码进行哈希处理,然后将哈希值与密码进行比较以破解。对于破解普通的JoeShmo来说,这有时是一个很好的使用方法,并且肯定比使用蛮力攻击要快。
查找表可以通过预先计算哈希值来提高破解性能,因此,当需要猜测密码时,程序无需花费计算时间实际对猜测值进行哈希处理。
在下一节中,我们将研究“盐化”,这使这些破解方法无法可靠地使用。
查找表,字典攻击和暴力攻击之所以可以起作用的原因是,每次密码都以相同的方式散列。我们可以通过在哈希之前或之后在密码前添加一个称为salt的随机字符串来使哈希随机化。
hash("hello")=2cf24dba5fb0a30e26e83b2ac5b9e29e1b161e5c1fa7425e73043362938b9824
hash("hello"+"jHjdbJShdiodb")=6f7f167a978166ee23b32c9531ce5dc23ae8fc26e412045858d938d11470831f
盐不必是秘密的,因为攻击者不知道盐将是什么,因此无法为其创建预先计算的表。
注意事项
·对每个哈希密码重复使用相同的盐
·使用短盐
·使用奇怪的双哈希值(例如:hash(hash(hash(‘mypass’))))在盐里
·使用加密安全的伪随机数生成器生成随机盐
·为散列的每个密码生成一个新的随机唯一盐
·产生长盐
盐化工作流程
存储密码:
·用CSPRNG生成超长盐
·将盐添加到用户密码中并进行哈希处理
·将盐和哈希值保存在数据库中
检查密码:
·从数据库中获取盐和哈希
·将盐添加到提交的密码之前并对其进行哈希处理
·比较散列。如果它们相等,则密码正确
注意:务必总是总是哈希在服务器上。有时未启用JavaScript,并且哈希在客户端不起作用。另外,没有其他人可以访问服务器,因此请确保对服务器进行哈希处理。
上述就是关于密码哈希指南:如何确保数据库安全的全部内容,想了解更多关于数据库安全的信息,请继续关注中培伟业。