哈希密码的最佳实践

Posted 2023-02-16

【中文标题】哈希密码的最佳实践

【英文标题】：Best practice of Hashing passwords

【发布时间】：2013-12-09 18:46:53

【问题描述】：

我想知道使用哪种方法将密码存储在数据库中。我已经使用 MD5 实现了它，但根据一些帖子 SHA1 更安全。还有其他更安全的方法吗？ 请帮我找出保护密码的最佳方法。

【问题讨论】：

***.com/a/1592620/1336590

因为它说“这些方法是单向哈希。您将无法找回用户丢失的密码。他们只能重置密码。”但我想知道我可以使用哪种方法，因为我也想检索密码功能..

@user1650891 我建议阅读我的回答中的主题，我会尝试扩展该主题。

@user1650891 - 我试图回答 similar question 。最重要的是，您切换到慢速密钥派生函数，如 BCrypt 或 PBKDF2。

This 是一本好书。

【参考方案1】：

当然 SHA1 比 MD5 更安全，但在大多数情况下它还不够安全。

您可能会发现视频 How NOT to Store Passwords by Computerphile 很有用 - 时长 9 分 24 秒。

您必须意识到，在身份验证和访问控制方面有很多内容需要涵盖，因此只有一个好的散列方案是不够的。

---

关于存储密码。

如您所知，您不存储密码。实际上，在存储密码时，一般来说，您希望使用为此目的优化的现代算法来存储密码的加盐哈希。对于盐，可以将其与散列一起存储，对于盐值尽可能使用随机值。

注意：出于安全目的生成随机值时，请使用加密安全生成器（例如 RandomNumberGenerator for .NET - example 的子类）。这个随机数生成器被设计成难以预测。虽然标准随机数生成器是可重复的（即使用System.Random，您只需要生成所有值的种子，而猜测种子所需要的只是使用相同种子生成的足够连续值）。

另请注意：大多数哈希都经过优化以快速计算，MD5 和 SHA1 都属于该类别。 您应该选择一个不那么快的，以便在尝试破解您的密码时，攻击将花费合理的时间来计算哈希值。

这样的算法之一是 BCrypt - 其他包括 Scrypt 和 PBKDF2 - 在使用 C# 中的 BCrypt 时，您会发现使用 BCrypt to Hash Your Passwords: Example for C# and SQL Server 的文章很有用。如果您无法使用 BCrypt 或类似算法，您至少应该使用 SHA2 的变体（SHA256、SHA512 等）。

附录：您可以使用 BLC 中可用的类HMACSHA256 作为密钥派生函数，将您的盐作为密钥传递。这比附加或前置盐（可能落到Length extension attacks）更可取。也就是说，如果您使用 HMAC，并且您的哈希算法容易受到长度扩展攻击（已知或将被发现），那么您的系统是安全的。 MD5、SHA1 和 SHA2 一样容易受到这种攻击。 SHA3​​ 不是。遗憾的是 SHA3 不包含在 BLC 中（不，它不是 SHA384），您可以从 Multiformats.Hash 或 HashLib 获取它。我不得不提一下，SHA3 也被设计成在硬件中实现时速度很快。请记住，对于密码来说，使用慢速哈希会更好。

---

附录：Argon2

作为it was pointed a year ago，此答案应更新为提及Argon2。我确实在那之前写了原始答案。

当时，我还没有找到我愿意推荐的 C# 实现。由于这个答案引起了我的注意，我又看了看，不再是这样了。

您可以使用Isopoh.Cryptography.Argon2，它具有完全托管的代码（它不是用于 C++ 实现的 C# 绑定，而是完整的 C# 代码），适用于所有主要平台，并且有 Nugets 可用。

注意事项：

使用Argon2Version.Nineteen。这是修复已知漏洞的 Argon2 v.1.3 (Nineteen = 0x13)。 使用Argon2Type.DataDependentAddressin (Argon2d)，或使用Argon2Type.DataIndependentAddressing (Argon2i) 和TimeCost >= 10。 Argon2d 理论上容易受到侧通道攻击，因此不建议在客户端机器上运行代码。 Isopoh.Cryptography.Argon2 通过使用操作系统调用来防止敏感内存移动到虚拟内存/页面文件/交换并尽快将其归零来缓解这种情况。另一方面，Argon2i 有一个时间-内存权衡漏洞，它允许通过使用更多内存来更快地计算哈希值。论文Towards Practical Attacks on Argon2i and Balloon Hashing 表明，即使在 Argon2 v.1.3 中，您也需要 10 次迭代/遍才能使漏洞利用效率低下。

---

以下是一些推荐阅读：

Speed Hashing You're Probably Storing Passwords Incorrectly Everything you ever wanted to know about building a secure password reset feature The definitive guide to form based website authentication OWASP's Password Storage Cheat Sheet OWASP's Forgot Password Cheat Sheet

还有视频：Crypto is Back! - Google 技术讲座 - 2009 年 8 月 5 日 - 时长 54 分 32 秒。

---

关于找回密码。

首先：不要。密码恢复选项的重点不是恢复密码，而是恢复对应用程序的访问。那么...如何恢复对应用程序的访问权限？

很高兴你问。您需要的是另一种验证用户身份的方法。这可能是第二因素身份验证（从安全问题到使用硬件密钥生成器的任何事情）。然而，通常做的是向第三方提供资源，例如邮件。

因此，您想知道用户是否是该用户之前声称拥有的电子邮件（或手机或其他任何东西）的所有者。为此，您向该电子邮件（或其他）发送代码（通常称为令牌或 cookie）。这必须是带有加密安全生成器的随机生成的代码，这样除了该电子邮件的所有者（或其他任何人）之外，其他任何人都无法知道该代码是什么。

现在，如果用户向您的应用程序展示该代码，您几乎确定它是正确的用户。

几乎 因为：电子邮件（或其他）可能已存储在不安全的位置。为了缓解这种情况，您希望对代码（cookie 或令牌）设置时间限制。此外，如果代码已被使用，它应该不再次工作。为了获得额外的安全性，您可以向 CAPTCHA 提供资源，以确保此代码不是来自幸运的机器人。

有关此主题的更多信息（此链接也在上面提供）：

Everything you ever wanted to know about building a secure password reset feature OWASP's Forgot Password Cheat Sheet

【讨论】：

+1 @Theraot：我编辑了你的帖子以突出计算时间，希望你不介意。

@jgauffin 欢迎您。至于改进答案，我不介意（无论如何，这些答案都在 CC-BY-SA 之下）。

如果不能选择使用第三方代码，则 .Net 框架 2.0 或更高版本中包含 PBKDF2 的实现。它被称为Rfc2898DeriveBytes，是System.Security.Crytography 的一部分。

【参考方案2】：

SHA1 的漏洞比 MD5 少。这是一种较新的算法，它使用更多的位并且需要更多的处理才能“破解”。您可以在此处查看大多数主流哈希算法及其已知漏洞：http://en.wikipedia.org/wiki/Cryptographic_hash_function

正如有人已经评论过的，一定要确保在密码哈希中添加“盐”，以进一步掩盖任何可能的模式。