織夢CMS - 輕松建站從此開始!

羅索

用戶密碼加密存儲十問十答,一文說透密碼安全

jackyhwei 發布于 2018-09-05 13:36 點擊:次 
我們數據庫的權限管理十分嚴格,敏感信息開發工程師都看不到,密碼明文存儲不行嗎? 不行。存儲在數據庫的數據面臨很多威脅,有應用程序層面、數據庫層面的、操作系統層面的、機房層
TAG: 存儲  密碼  安全  

我們數據庫的權限管理十分嚴格,敏感信息開發工程師都看不到,密碼明文存儲不行嗎?

不行。存儲在數據庫的數據面臨很多威脅,有應用程序層面、數據庫層面的、操作系統層面的、機房層面的、員工層面的,想做到百分百不被黑客竊取,非常困難。

如果密碼是加密之後再存儲,那麼即便被拖庫,黑客也難以獲取用戶的明文密碼。可以說,密碼加密存儲是用戶賬戶系統的底褲,它的重要性,相當于你獨自出遠門時縫在内衣裡錢,雖然你用到他們的概率不大,但關鍵時刻他們能救命。

那用加密算法比如AES,把密碼加密下再存,需要明文的時候我再解密。

不行。這涉及到怎麼保存用來加密解密的密鑰,雖然密鑰一般跟用戶信息分開存儲,且業界也有一些成熟的、基于軟件或硬件的密鑰存儲方案。但跟用戶信息的保存一樣,想要密鑰百分百不洩露,不可能做到。用這種方式加密密碼,能夠降低黑客獲取明文密碼的概率。但密鑰一旦洩露,用戶的明文密碼也就洩露了,不是一個好方法。

另外,用戶賬戶系統不應該保存用戶的明文密碼,在用戶忘記密碼的時候,提供重置密碼的功能而不是找回密碼。

保存所有密碼的HASH值,比如MD5。是不是就可以了?

不是所有的HASH算法都可以,準确講應該是Cryptographic Hash。Cryptographic Hash具有如下幾個特點:

  1. 給定任意大小任意類型的輸入,計算hash非常快;
  2. 給定一個hash,沒有辦法計算得出該hash所對應的輸入;
  3. 對輸入做很小改動,hash就會發生很大變化;
  4. 沒有辦法計算得到兩個hash相同的輸入;

雖然不是為加密密碼而設計,但其第2、3、4三個特性使得Cryptographic Hash非常适合用來加密用戶密碼。常見的Cryptographic Hash有MD5、SHA-1、SHA-2、SHA-3/Keccak、BLAKE2。

從1976年開始,業界開始使用Cryptographic Hash加密用戶密碼,最早見于Unix Crypt。但MD5、SHA-1已被破解,不适合再用來保存密碼。

那我保存用戶密碼的SHA256值。

不行。黑客可以用查詢表或彩虹表來破解用戶密碼。注意是破解密碼不是破解sha256,能根據sha256破解密碼的原因是,用戶密碼往往需要大腦記憶、手工輸入,所以不會太複雜,往往具有有限的長度、确定的取值空間。

  • 短的取值簡單的密碼可以用查詢表破解

比如8位數字密碼,一共隻有10^8=100000000種可能。一億條數據并不算多,黑客可以提前吧0-99999999的sha256都計算好,并以sha256做key密碼為value存儲為一個查詢表,當給定sha256需要破解時,從表中查詢即可。

  • 取值相對複雜,且長度較長的密碼,可以用彩虹表破解

比如10位,允許數字、字母大小寫的密碼,一共有(10+26+26)^10~=84億億種可能,記錄非常之多難以用查詢表全部保存起來。這時候黑客會用一種叫做彩虹表的技術來破解,彩虹表用了典型的計算機世界裡解決問題的思路,時間空間妥協。在這個例子裡面,空間不夠,那就多花一些時間。在彩虹表中,可以将全部的sha256值轉化為長度相同的若幹條hash鍊,隻保存hash鍊的頭和尾,在破解的時候先查詢得到sha256存在于哪條hash鍊中,然後計算這一條hash鍊上的所有sha256,通過實時比對來破解用戶密碼。

rainbow table

上圖圖展示了一個hash鍊長度為3的彩虹表,因為在hash鍊中需要将hash值使用R函數映射回密碼取值空間,為了降低R函數的沖突概率,長度為K的hash鍊中,彩虹表會使用k個R函數,因為每次疊代映射回密碼空間使用的R函數不一樣,這種破解方法被稱作彩虹表攻擊。

實際的情況Hash鍊要比遠比上例更長,比如我們的例子中全部的84億億個sha256存不下,可以轉化為840億條長度為1千萬的sha鍊。對彩虹表原理感興趣的話,可以閱讀它的維基百科

網路上甚至有一些已經計算好的彩虹表可以直接使用,所以直接保存用戶密碼的sha256是非常不安全的。

怎樣避免彩虹表攻擊?

簡單講,就是加鹽。一般來講用戶密碼是個字符串key、鹽是我們生成的字符串salt。原來我們保存的是key的hash值HASH(key),現在我們保存key和salt拼接在一起的hash值HASH(key+salt)。

這樣黑客提前計算生成的彩虹表,就全都失效了。

鹽應該怎麼生成,随機生成一個字符串?

這是個好問題,并不是加個鹽就安全了,鹽的生成有很多講究。

  • 使用CSPRNG(Cryptographically Secure Pseudo-Random Number Generator)生成鹽,而不是普通的随機數算法;

CSPRNG跟普通的随機數生成算法,比如C語言标準庫裡面的rand()方法,有很大不同。正如它的名字所揭示,CSPRNG是加密安全的,這意味着用它産生的随機數更加随機,且不可預測。常見編程語言都提供了CSPRNG,如下表:

編程語言 CSPRNG
C/C++ CryptGenRandom
Java Java.security.SecureRandom
PHP mcrypt_create_iv
Erlang Crypt:strong_rand_bytes
Linux/Unix上的任何編程語言 讀取/dev/random
  • 鹽不能太短

想想查詢表和彩虹表的原理,如果鹽很短,那意味着密碼+鹽組成的字符串的長度和取值空間都有限。黑客完全可以為密碼+鹽的所有組合建立彩虹表。

  • 鹽不能重複使用

如果所有用戶的密碼都使用同一個鹽進行加密。那麼不管鹽有多複雜、多大的長度,黑客都可以很容易的使用這個固定鹽重新建立彩虹表,破解你的所有用戶的密碼。如果你說,我可以把固定鹽存起來,不讓别人知道啊,那麼你應該重新讀一下我關于為什麼使用AES加密不夠安全的回答。

即便你為每一個用戶生成一個随機鹽,安全性仍然不夠,因為這個鹽在用戶修改密碼時重複使用了。應當在每一次需要保存新的密碼時,都生成一個新的鹽,并跟加密後的hash值保存在一起。

注意:有些系統用一個每個用戶都不同的字段,uid、手機号、或者别的什麼,來作為鹽加密密碼。這不是一個好主意,這幾乎違背了上面全部三條鹽的生成規則。

那我自己設計一個黑客不知道的HASH算法,這樣你的那些破解方法就都失效了。

不可以。

首先如果你不是一個密碼學專家,你很難設計出一個安全的hash算法。不服氣的話,你可以再看一遍上面我關于Cryptographic Hash的描述,然後想一想自己怎麼設計一個算法可以滿足它的全部四種特性。就算你是基于已有的Cryptographic Hash的基礎上去設計,設計完之後,也難以保證新算法仍然滿足Cryptographic Hash的要求。而一旦你的算法不滿足安全要求,那麼你給了黑客更多更容易破解用戶密碼的方法。

即便你能設計出一個别人不知道的Cryptographic Hash算法,你也不能保證黑客永遠都不知道你的算法。黑客往往都有能力訪問你的代碼,想想柯克霍夫原則或者香農公裡:

密碼系統應該就算被所有人知道系統的運作步驟,仍然是安全的。

為每一個密碼都加上不同的高質量的鹽,做HASH,然後保存。這樣可以了吧?

以前是可以的,現在不行了。 計算機硬件飛速發展,一個現代通用CPU能以每月數百萬次的速度計算sha256,而GPU集群計算sha256,更是可以達到每秒10億次以上。這使得暴力破解密碼成為可能,黑客不再依賴查詢表或彩虹表,而是使用定制過的硬件和專用算法,直接計算每一種可能,實時破解用戶密碼。

那怎麼辦呢?回想上面關于Cryptographic Hash特性的描述,其中第一條:

給定任意大小任意類型的輸入,計算hash非常快

Cryptographic Hash并不是為了加密密碼而設計的,它計算非常快的這個特性,在其他應用場景中非常有用,而在現在的計算機硬件條件下,用來加密密碼就顯得不合适了。針對這一點,密碼學家們設計了PBKDF2、BCRYPT、SCRYPT等用來加密密碼的Hash算法,稱作Password Hash。在他們的算法内部,通常都需要計算Cryptographic Hash很多次,從而減慢Hash的計算速度,增大黑客暴力破解的成本。可以說Password Hash有一條設計原則,就是計算過程能夠按要求變慢,并且不容易被硬件加速。

應該使用哪一種Password Hash?

PBKDF2、BCRYPT、SCRYPT曾經是最常用的三種密碼Hash算法,至于哪種算法最好,多年以來密碼學家們并無定論。但可以确定的是,這三種算法都不完美,各有缺點。其中PBKDF2因為計算過程需要内存少所以可被GPU/ASIC加速,BCRYPT不支持内存占用調整且容易被FPGA加速,而SCRYPT不支持單獨調整内存或計算時間占用且可能被ASIC加速并有被旁路攻擊的可能。

2013年NIST(美國國家标準與技術研究院)邀請了一些密碼學家一起,舉辦了密碼hash算法大賽(Password Hashing Competition),意在尋找一種标準的用來加密密碼的hash算法,并借此在業界宣傳加密存儲用戶密碼的重要性。大賽列出了參賽算法可能面臨的攻擊手段:

  • [X] 加密算法破解(原值還原、哈希碰撞等,即應滿足Cryptographic Hash的第2、3、4條特性);
  • [X] 查詢表/彩虹表攻擊;
  • [X] CPU優化攻擊;
  • [X] GPU、FPGA、ASIC等專用硬件攻擊;
  • [X] 旁路攻擊;

最終在2015年7月,Argon2算法赢得了這項競賽,被NIST認定為最好的密碼hash算法。不過因為算法過新,目前還沒聽說哪家大公司在用Argon2做密碼加密。

一路問過來好累,能不能給我舉個例子,大公司是怎麼加密用戶密碼的?

今年(2016)Dropbox曾發生部分用戶密碼數據洩露事件,當時其CTO表示他們對自己加密密碼的方式很有信心,請用戶放心。随後,Dropbox在其官方技術博客發表名為《How Dropbox securely stores your passwords》的文章,講述了他們的用戶密碼加密存儲方案。

Dropbox password hashing

如上圖所示,Dropbox首先對用戶密碼做了一次sha512哈希将密碼轉化為64個字節,然後對sha512的結果使用Bcrypt算法(每個用戶獨立的鹽、強度為10)計算,最後使用AES算法和全局唯一的密鑰将Bcrypt算法的計算結果加密并保存。博文中,Dropbox描述了這三層加密的原因:

  • 首先使用sha512,将用戶密碼歸一化為64字節hash值。因為兩個原因:一個是Bcrypt算對輸入敏感,如果用戶輸入的密碼較長,可能導緻Bcrypt計算過慢從而影響響應時間;另一個是有些Bcrypt算法的實現會将長輸入直接截斷為72字節,從信息論的角度講,這導緻用戶信息的熵變小;
  • 然後使用Bcrypt算法。選擇Bcrypt的原因,是Dropbox的工程師對這個算法更熟悉調優更有經驗,參數選擇的标準,是Dropbox的線上API服務器可以在100ms左右的時間可計算出結果。另外,關于Bcrypt和Scrypt哪個算法更優,密碼學家也沒有定論。同時,Dropbox也在關注密碼hash算法新秀Argon2,并表示會在合适的時機引入;
  • 最後使用AES加密。因為Bcrypt不是完美的算法,所以Dropbox使用AES和全局密鑰進一步降低密碼被破解的風險,為了防止密鑰洩露,Dropbox采用了專用的密鑰保存硬件。Dropbox還提到了最後使用AES加密的另一個好處,即密鑰可定時更換,以降低用戶信息/密鑰洩露帶來的風險。
(xinzhao)
本站文章除注明轉載外,均為本站原創或編譯歡迎任何形式的轉載,但請務必注明出處,尊重他人勞動,同學習共成長。轉載請注明:文章轉載自:羅索實驗室 [#/a/201809/17544.html]
本文出處:博客園 作者:xinzhao
頂一下
(0)
0%
踩一下
(0)
0%
------分隔線----------------------------
相關文章
發表評論
請自覺遵守互聯網相關的政策法規,嚴禁發布色情、暴力、反動的言論。
評價:
表情:
用戶名: 驗證碼:點擊我更換圖片
欄目列表
将本文分享到微信
推薦内容

http://m.juhua536373.cn|http://wap.juhua536373.cn|http://www.juhua536373.cn||http://juhua536373.cn