信息化觀察網

我們數(shù)據庫的權限管理十分嚴格，敏感信息開發(fā)工程師都看不到，密碼明文存儲不行嗎？

不行。存儲在數(shù)據庫的數(shù)據面臨很多威脅，有應用程序層面、數(shù)據庫層面的、操作系統(tǒng)層面的、機房層面的、員工層面的，想做到百分百不被黑客竊取，非常困難。

如果密碼是加密之后再存儲，那么即便被拖庫，黑客也難以獲取用戶的明文密碼?？梢哉f，密碼加密存儲是用戶賬戶系統(tǒng)的底褲，它的重要性，相當于你獨自出遠門時縫在內衣里錢，雖然你用到他們的概率不大，但關鍵時刻他們能救命。

那用加密算法比如AES，把密碼加密下再存，需要明文的時候我再解密。

不行。這涉及到怎么保存用來加密解密的密鑰，雖然密鑰一般跟用戶信息分開存儲，且業(yè)界也有一些成熟的、基于軟件或硬件的密鑰存儲方案。但跟用戶信息的保存一樣，想要密鑰百分百不泄露，不可能做到。用這種方式加密密碼，能夠降低黑客獲取明文密碼的概率。但密鑰一旦泄露，用戶的明文密碼也就泄露了，不是一個好方法。

另外，用戶賬戶系統(tǒng)不應該保存用戶的明文密碼，在用戶忘記密碼的時候，提供重置密碼的功能而不是找回密碼。

保存所有密碼的HASH值，比如MD5。是不是就可以了？

不是所有的HASH算法都可以，準確講應該是Cryptographic Hash。Cryptographic Hash具有如下幾個特點：

給定任意大小任意類型的輸入，計算hash非?？?；

給定一個hash，沒有辦法計算得出該hash所對應的輸入；

對輸入做很小改動，hash就會發(fā)生很大變化;

沒有辦法計算得到兩個hash相同的輸入;

雖然不是為加密密碼而設計，但其第2、3、4三個特性使得Cryptographic Hash非常適合用來加密用戶密碼。常見的Cryptographic Hash有MD5、SHA-1、SHA-2、SHA-3/Keccak、BLAKE2。

從1976年開始，業(yè)界開始使用Cryptographic Hash加密用戶密碼，最早見于Unix Crypt。但MD5、SHA-1已被破解，不適合再用來保存密碼。

那我保存用戶密碼的SHA256值。

不行。黑客可以用查詢表或彩虹表來破解用戶密碼。注意是破解密碼不是破解sha256，能根據sha256破解密碼的原因是，用戶密碼往往需要大腦記憶、手工輸入，所以不會太復雜，往往具有有限的長度、確定的取值空間。

短的取值簡單的密碼可以用查詢表破解

比如8位數(shù)字密碼，一共只有10^8=100000000種可能。一億條數(shù)據并不算多，黑客可以提前吧0-99999999的sha256都計算好，并以sha256做key密碼為value存儲為一個查詢表，當給定sha256需要破解時，從表中查詢即可。

取值相對復雜，且長度較長的密碼，可以用彩虹表破解

比如10位，允許數(shù)字、字母大小寫的密碼，一共有(10+26+26)^10~=84億億種可能，記錄非常之多難以用查詢表全部保存起來。這時候黑客會用一種叫做彩虹表的技術來破解，彩虹表用了典型的計算機世界里解決問題的思路，時間空間妥協(xié)。在這個例子里面，空間不夠，那就多花一些時間。在彩虹表中，可以將全部的sha256值轉化為長度相同的若干條hash鏈，只保存hash鏈的頭和尾，在破解的時候先查詢得到sha256存在于哪條hash鏈中，然后計算這一條hash鏈上的所有sha256，通過實時比對來破解用戶密碼。

上圖圖展示了一個hash鏈長度為3的彩虹表，因為在hash鏈中需要將hash值使用R函數(shù)映射回密碼取值空間，為了降低R函數(shù)的沖突概率，長度為K的hash鏈中，彩虹表會使用k個R函數(shù)，因為每次迭代映射回密碼空間使用的R函數(shù)不一樣，這種破解方法被稱作彩虹表攻擊。

實際的情況Hash鏈要比遠比上例更長，比如我們的例子中全部的84億億個sha256存不下，可以轉化為840億條長度為1千萬的sha鏈。對彩虹表原理感興趣的話，可以閱讀它的維基百科。

網路上甚至有一些已經計算好的彩虹表可以直接使用，所以直接保存用戶密碼的sha256是非常不安全的。

怎樣避免彩虹表攻擊？

簡單講，就是加鹽。一般來講用戶密碼是個字符串key、鹽是我們生成的字符串salt。原來我們保存的是key的hash值HASH(key)，現(xiàn)在我們保存key和salt拼接在一起的hash值HASH(key+salt)。

這樣黑客提前計算生成的彩虹表，就全都失效了。

鹽應該怎么生成，隨機生成一個字符串？

這是個好問題，并不是加個鹽就安全了，鹽的生成有很多講究。

使用CSPRNG（Cryptographically Secure Pseudo-Random Number Generator）生成鹽，而不是普通的隨機數(shù)算法；

CSPRNG跟普通的隨機數(shù)生成算法，比如C語言標準庫里面的rand()方法，有很大不同。正如它的名字所揭示，CSPRNG是加密安全的，這意味著用它產生的隨機數(shù)更加隨機，且不可預測。常見編程語言都提供了CSPRNG，如下表：

鹽不能太短

想想查詢表和彩虹表的原理，如果鹽很短，那意味著密碼+鹽組成的字符串的長度和取值空間都有限。黑客完全可以為密碼+鹽的所有組合建立彩虹表。

鹽不能重復使用

如果所有用戶的密碼都使用同一個鹽進行加密。那么不管鹽有多復雜、多大的長度，黑客都可以很容易的使用這個固定鹽重新建立彩虹表，破解你的所有用戶的密碼。如果你說，我可以把固定鹽存起來，不讓別人知道啊，那么你應該重新讀一下我關于為什么使用AES加密不夠安全的回答。

即便你為每一個用戶生成一個隨機鹽，安全性仍然不夠，因為這個鹽在用戶修改密碼時重復使用了。應當在每一次需要保存新的密碼時，都生成一個新的鹽，并跟加密后的hash值保存在一起。

注意：有些系統(tǒng)用一個每個用戶都不同的字段，uid、手機號、或者別的什么，來作為鹽加密密碼。這不是一個好主意，這幾乎違背了上面全部三條鹽的生成規(guī)則。

那我自己設計一個黑客不知道的HASH算法，這樣你的那些破解方法就都失效了。

不可以。

首先如果你不是一個密碼學專家，你很難設計出一個安全的hash算法。不服氣的話，你可以再看一遍上面我關于Cryptographic Hash的描述，然后想一想自己怎么設計一個算法可以滿足它的全部四種特性。就算你是基于已有的Cryptographic Hash的基礎上去設計，設計完之后，也難以保證新算法仍然滿足Cryptographic Hash的要求。而一旦你的算法不滿足安全要求，那么你給了黑客更多更容易破解用戶密碼的方法。

即便你能設計出一個別人不知道的Cryptographic Hash算法，你也不能保證黑客永遠都不知道你的算法。黑客往往都有能力訪問你的代碼，想想柯克霍夫原則或者香農公里：

密碼系統(tǒng)應該就算被所有人知道系統(tǒng)的運作步驟，仍然是安全的。

為每一個密碼都加上不同的高質量的鹽，做HASH，然后保存。這樣可以了吧？

以前是可以的，現(xiàn)在不行了。計算機硬件飛速發(fā)展，一個現(xiàn)代通用CPU能以每月數(shù)百萬次的速度計算sha256，而GPU集群計算sha256，更是可以達到每秒10億次以上。這使得暴力破解密碼成為可能，黑客不再依賴查詢表或彩虹表，而是使用定制過的硬件和專用算法，直接計算每一種可能，實時破解用戶密碼。

那怎么辦呢？回想上面關于Cryptographic Hash特性的描述，其中第一條：

給定任意大小任意類型的輸入，計算hash非?？?/strong>

Cryptographic Hash并不是為了加密密碼而設計的，它計算非?？斓倪@個特性，在其他應用場景中非常有用，而在現(xiàn)在的計算機硬件條件下，用來加密密碼就顯得不合適了。針對這一點，密碼學家們設計了PBKDF2、BCRYPT、SCRYPT等用來加密密碼的Hash算法，稱作Password Hash。在他們的算法內部，通常都需要計算Cryptographic Hash很多次，從而減慢Hash的計算速度，增大黑客暴力破解的成本?？梢哉fPassword Hash有一條設計原則，就是計算過程能夠按要求變慢，并且不容易被硬件加速。

應該使用哪一種Password Hash？

PBKDF2、BCRYPT、SCRYPT曾經是最常用的三種密碼Hash算法，至于哪種算法最好，多年以來密碼學家們并無定論。但可以確定的是，這三種算法都不完美，各有缺點。其中PBKDF2因為計算過程需要內存少所以可被GPU/ASIC加速，BCRYPT不支持內存占用調整且容易被FPGA加速，而SCRYPT不支持單獨調整內存或計算時間占用且可能被ASIC加速并有被旁路攻擊的可能。

2013年NIST（美國國家標準與技術研究院）邀請了一些密碼學家一起，舉辦了密碼hash算法大賽（Password Hashing Competition），意在尋找一種標準的用來加密密碼的hash算法，并借此在業(yè)界宣傳加密存儲用戶密碼的重要性。大賽列出了參賽算法可能面臨的攻擊手段：

[X]加密算法破解（原值還原、哈希碰撞等，即應滿足Cryptographic Hash的第2、3、4條特性）;

[X]查詢表/彩虹表攻擊；

[X]CPU優(yōu)化攻擊；

[X]GPU、FPGA、ASIC等專用硬件攻擊；

[X]旁路攻擊;

最終在2015年7月，Argon2算法贏得了這項競賽，被NIST認定為最好的密碼hash算法。不過因為算法過新，目前還沒聽說哪家大公司在用Argon2做密碼加密。

一路問過來好累，能不能給我舉個例子，大公司是怎么加密用戶密碼的？

今年（2016）Dropbox曾發(fā)生部分用戶密碼數(shù)據泄露事件，當時其CTO表示他們對自己加密密碼的方式很有信心，請用戶放心。隨后，Dropbox在其官方技術博客發(fā)表名為《How Dropbox securely stores your passwords》的文章，講述了他們的用戶密碼加密存儲方案。

如上圖所示，Dropbox首先對用戶密碼做了一次sha512哈希將密碼轉化為64個字節(jié)，然后對sha512的結果使用Bcrypt算法（每個用戶獨立的鹽、強度為10）計算，最后使用AES算法和全局唯一的密鑰將Bcrypt算法的計算結果加密并保存。博文中，Dropbox描述了這三層加密的原因：

首先使用sha512，將用戶密碼歸一化為64字節(jié)hash值。因為兩個原因：一個是Bcrypt算對輸入敏感，如果用戶輸入的密碼較長，可能導致Bcrypt計算過慢從而影響響應時間；另一個是有些Bcrypt算法的實現(xiàn)會將長輸入直接截斷為72字節(jié)，從信息論的角度講，這導致用戶信息的熵變??；

然后使用Bcrypt算法。選擇Bcrypt的原因，是Dropbox的工程師對這個算法更熟悉調優(yōu)更有經驗，參數(shù)選擇的標準，是Dropbox的線上API服務器可以在100ms左右的時間可計算出結果。另外，關于Bcrypt和Scrypt哪個算法更優(yōu)，密碼學家也沒有定論。同時，Dropbox也在關注密碼hash算法新秀Argon2，并表示會在合適的時機引入；

最后使用AES加密。因為Bcrypt不是完美的算法，所以Dropbox使用AES和全局密鑰進一步降低密碼被破解的風險，為了防止密鑰泄露，Dropbox采用了專用的密鑰保存硬件。Dropbox還提到了最后使用AES加密的另一個好處，即密鑰可定時更換，以降低用戶信息/密鑰泄露帶來的風險。