你保存用户密码的姿势正确吗？

摘要

这几年陆陆续续有很多大站被脱裤，最终导致了很多用户的密码明文泄露。本文不探讨脱裤技术，主要研究的是如何正确（尽量安全）地保存用户密码。

哈希

“把明文加密后再保存数据库”应该是大家的共识。这个过程应该是不可逆的（不能通过加密后的串再得到原文），所以对于这个“加密”过程更贴切的叫法应该是 - 哈希：

Hash，一般翻译做“散列”，也有直接音译为“哈希”的。就是把任意长度的输入通过散列算法变换成固定长度的输出，该输出就是散列值。
这种转换是一种压缩映射，也就是，散列值的空间通常远小于输入的空间，不同的输入可能会散列成相同的输出，所以不可能从散列值来唯一的确定输入值。
简单的说就是一种将任意长度的消息压缩到某一固定长度的消息摘要的函数。

我们常用的 Hash 算法主要就是 MD5 和 SHA，并且很多时候我们就是使用其中一种来加密用户密码的。
以上两类哈希算法主要是用于校验文件/数字签名，但并不适合用来保护用户密码，虽然对于我们来说_感觉上_似乎起到了一定安全防护的效果，但其实效果很差，特别是 MD5，秒秒钟就可以找到碰撞值。

加盐

上面我们提到过，将用户明文直接哈希后保存并不是正确的姿势，那加盐后呢？

我们先看下加盐解决的问题：如果两个用户密码一样，那么哈希后的值也是一样，攻击者通过查表法很容易就能破解原文并且一石多鸟。因为攻击者不知道用户的颜值和哈希算法，所以不大可能破解。

加盐的确是正确的思路，前提是：

盐长度不能太短，并且必须是随机生成的
用户更新密码的同时也需要更新盐值

并且加盐后使用的算法非常非常重要，而恰恰是这一点大家都没怎么弄对。

加盐哈希

我们直接说结论吧：

不要使用自己设计的算法（比如 sha1(sha1(password+salt))、sha1(md5(salt) + md5(password)) 等类似的）
要使用 crypt 函数并且使用安全算法的参数（$2y, $5, $6$）。*nix 系统正是使用 crypt 来保护用户口令的，我们应该使用这样久经考验的姿势

使用流程

以 golang 代码举例：

package main

import (
	"fmt"

	"github.com/kless/osutil/user/crypt/sha512_crypt"
)

func main() {
	// 1. 生成密码安全处理后 hash 串
	c := sha512_crypt.New()
	hash, _ := c.Generate([]byte("secret"), nil) // 第二个参数是 salt，设置为 nil 表示自动生成 salt

	fmt.Println(hash)

	// 2. 将该 hash 存库
	// ....

	// 3. 用户登录验证
	userInput := "secret"
	inputHash, _ := c.Generate([]byte(userInput), []byte(hash)) // 第一个参数是用户输入的密码，第二个参数是数据库中取出的 hash 串
	if inputHash == hash {
		fmt.Println("登录成功")
	} else {
		fmt.Println("登录失败")
	}
}

输出形如：

$6$P0pVrLOL89I7Y4.Y$IlUd2ABQnUcSecMr2nMgB8lay58RXrQGODwVOQHtfP7IYr.mpGE7dn5.nmxxb9RWkM8o/rNNJCxs3mLKsB5Xl.
登录成功

要理解第 3 步中的验证原理，需要先知道 salt 的格式。在上面的例子中，我们没有指定 salt，而是使用自动生成的，最终生成的 hash 串中也是带有这个 salt 值的，也就是 $6$P0pVrLOL89I7Y4.Y$ 这个部分。

我们指定一下 salt 再调用函数就清晰一些了：

hash, _ := c.Generate([]byte("secret"), []byte("$6$rounds=5000$saltstr"))

输出：

$6$rounds=5000$saltstr$SH73gRYn1O7I/XTiq3AjDklhcqGvJ9vp65/TuFq2vQOoJEaejlTvsXOfy3dBpHju9v0Vi.VOcFh.79yy/kksl1

$6：指定了 crypt 算法为 SHA512
$rounds=5000：指定了迭代 5000 次
$saltstr：盐值

也就是说，salt 这个参数实际上是定义了算法、盐值两个部分。

回到登录验证的例子，第 3 步中把用户输入的密码和数据库中取出的 hash 作为 salt 加密就很好理解了，其实数据库中取出的 hash 在该函数中只是使用了 salt 部分，所以如果用户输入的密码正确的话，计算结果会和持久化的 hash 一致。

参考

文中提到的大部分内容在这篇文章中有详述，建议阅读
PHP: crypt - Manual
A golang password hashing library

JCF-HashMap&HashSet

Hash Concepts 哈希表的本质是一个数组，数组中每一个元素称为一个箱子(bin)，箱子中存放的是键值对。存储过程：根据 Key 计算出它的哈希值 h；假设箱子的个数为 n，这个键值应该放在第(h%n)个箱子里；如果该箱子中已经有了键值对，使用开放寻址法(Open hash)或者拉链法(closed h ..

MIE 实用工具二：hash 校验插件篇

两款 hash 校验插件 Hashtab 介绍 HashTab 是一个优秀的 Windows 扩展程序，它在 Windows 资源管理器的文件属性窗口中添加了一个叫做”Hashtab”的标签。该标签可以帮助你方便地计算文件的 MD5、SHA1 与 CRC-32 哈希值。这些都是在你验证文件完整性时比较常用的哈希值。另外 ..

HashBufferedInputStream: 实现 InputStream 在使用中同时计算 Hash 值

需求：文件上传的同时计算 hash 值输入流使用是计算 hash 实现：上面两个需求其实都是一致的都是处理 InputStream 同时计算 Hash 值我们知道 Java IO 是使用的装饰模式，那么我们只需要对 BufferedInputStream 进行封装即可重点是 Override publ ..

哈希表和完美哈希

我们知道，通过对数组进行直接寻址（Direct Addressing），可以在 O(1) 时间内访问数组中的任意元素。所以，如果存储空间允许，可以提供一个数组，为每个可能的关键字保留一个位置，就可以应用直接寻址技术。哈希表（Hash Table）是普通数组概念的推广。当实际存储的的关键字数比可能的关键字总数较 ..

写了个或许是免费 + 开源中最安全（特指不考虑侧信道攻击）的随机密码生成器

多层安全第一层：基于时间随机，从 100MHz 到 1GHz 之间（共大约 899,999,999 种可能）抽选一个随机频率第二层：从抽选的频率中串流 iq 解码得到的 AFSK 调制的 uint 数据流，波特率最高可选 9600,即每秒变化 9600 次。宇宙中的无线电本身属于混沌系统，古典概率无法估测。第三层 ..

分享代码片段实现简单锁定笔记

这个功能是根据这两个帖子思源可以像 OneNote 一样锁定笔记本吗和思源是否可以添加笔记本密码功能的需求开发的，主要解决防止别人误点击进入自己的私有笔记的问题，解决办法就是针对私有笔记打开时要求输入密码，然后一段时间后自动锁定笔记。先上效果： [图片] 功能简介：支持给多个笔记添加不同的密码可自定义多少秒内无需 ..

web 权限提升总结

中间件语言类权限划分 linux 管理员 UID 为 0：系统的管理员用户。系统用户 UID 为 1～999：默认服务程序会有独立的系统用户负责运行。普通用户 UID 从 1000 开始：是由管理员创建的用于日常工作的用户。 windows 系统管理员组：system 用户管理员组：administrator 普 ..

欢迎来到这里！