💃🏼 💗 👵 हैश और सुरक्षित पासवर्ड भंडारण के बारे में थोड़ा सा 🚵🏿 🍾 👍🏼

Upd। यदि आप जानते हैं कि BCrypt क्या है, तो आप अब नहीं पढ़ सकते हैं। यदि आप PHP 5.5+ का उपयोग कर रहे हैं तो आप इस लेख को पढ़ सकते हैं। नीचे मैंने अपनी बाइक का आविष्कार किया, एक कार्यकर्ता, लेकिन दो हैंडलबार, एक रियर स्पेयर के साथ। वह जवान था, गर्म था।

हाय, हेब्र! आज, मेरी परियोजना के लिए एक प्रमाणीकरण प्रणाली विकसित करने की प्रक्रिया में, मेरे पास एक विकल्प था - डेटाबेस में उपयोगकर्ता पासवर्ड कैसे संग्रहीत करें? कई विकल्प दिमाग में आते हैं। सबसे स्पष्ट:

डेटाबेस में पासवर्ड साफ़ करें।
नियमित हैश crc32, md5, sha1 का उपयोग करें
क्रिप्ट () फ़ंक्शन का उपयोग करें
स्थिर "नमक", फॉर्म md5 (md5 ($ पास)) के निर्माण का उपयोग करें
प्रत्येक उपयोगकर्ता के लिए एक अद्वितीय "नमक" का उपयोग करें।

पहला विकल्प तुरंत दूर हो गया। कुछ विचार-विमर्श के बाद नियमित हैश का उपयोग भी कई कारणों से त्यागना पड़ा।

हैश फंक्शंस

हैश फंक्शन की टक्कर तब होती है जब यह विभिन्न इनपुट डेटा पर समान परिणाम उत्पन्न करता है। बेशक, इस की संभावना काफी कम है, और हैश की लंबाई पर निर्भर करता है। हालाँकि, अप्रचलित (लेकिन अभी भी कभी-कभी उपयोग किए जाने वाले) फ़ंक्शन crc32 () हैश के रूप में 32-बिट पूर्णांक देता है। यही है, इस तरह के हैश के लिए पासवर्ड लेने के लिए, संभावना सिद्धांत के अनुसार, आपको 2 ^ 32 = 4,294,967,296 अलग-अलग हैश प्राप्त करने की आवश्यकता है। मेरी मुफ्त होस्टिंग crc32 पर भी प्रति सेकंड 350,000 बार के क्रम की गति से काम करता है - अपने आप के लिए गणना करें कि इस तरह के हैश को क्रैक करने में कितने सेकंड लगते हैं;)

बेशक, यह md5 () (एक 128-बिट हैश) और विशेष रूप से sha1 () (एक 160-बिट हैश) पर लागू नहीं होता है। उनकी टक्कर का उपयोग करना लगभग असंभव है, हालांकि एक छोटा सा लेख है ...

रेनबो टेबल

इंद्रधनुष की तालिकाओं में सबसे अधिक इस्तेमाल किए जाने वाले पासवर्डों के हैश - नाम, जन्म की तारीख, जानवरों के नाम, आदि होते हैं। इन तालिकाओं में लाखों, अरबों मूल्य शामिल हो सकते हैं, लेकिन उनके साथ काम करना अपेक्षाकृत जल्दी है, और किसी एक मूल्य के खिलाफ हैश की जाँच करना आसान है। भाग में, उन्हें "नमक" या md5 (sha1 (md5 ($ पास))) जैसे निर्माणों से सुरक्षित किया जा सकता है।

$password = "easypassword"; //  ,   , ,     echo sha1($password); //       sha1()  : 6c94d3b42518febd4ad747801d50a8972022f956 $salt = "f#@V)Hu^%Hgfds"; //    ,      echo sha1($salt . $password); //     ,  : cd56a16759623378628c0d9336af69b74d9d71a5 //

रेनबो टेबल। भाग २

स्थैतिक नमक और पसंद काफी अच्छी तरह से सेवा कर सकते हैं ... जब तक इन संरचनाओं और नमक की संरचना को गुप्त रखा जाता है। यदि कोई हमलावर हैश सीक्रेट का पता लगाता है, तो वह आसानी से इसके लिए "इंद्रधनुष तालिका" को संशोधित कर सकता है। और कब से हम अपने सर्वर की सुरक्षा प्रणाली पर बिल्कुल भरोसा नहीं कर सकते हैं, हमें दूसरे विकल्प की तलाश करनी चाहिए। एक समाधान प्रत्येक उपयोगकर्ता के लिए एक अद्वितीय नमक उत्पन्न करने के लिए हो सकता है, जैसे कुछ:

 $hash = sha1($user_id . $password);

इससे भी बेहतर, पूरी तरह से यादृच्छिक नमक उत्पन्न करें, जैसे:

 //      22  function unique_salt() { return substr(sha1(mt_rand()),0,22); } $unique_salt = unique_salt(); $hash = sha1($unique_salt . $password); //

बेशक, एक अद्वितीय नमक को डेटाबेस में जोड़ा जाना होगा, लेकिन इसके लिए पहुँच प्राप्त करने के बाद भी, एक हमलावर कई मिलियन इंद्रधनुष तालिकाओं को उत्पन्न करने में सक्षम होने की संभावना नहीं है।

हश दर

यह प्रतीत होता है - तेजी से बेहतर है। जितनी तेजी से हैश उत्पन्न होता है, उतनी ही तेजी से हमारा उपयोगकर्ता पहले से ही लाभ दर्ज करने और शुरू करने में सक्षम होगा। हालांकि, हैश रेट जितना अधिक होगा, हैकर उतनी ही तेजी से उसे उठा सकता है।

शक्तिशाली GPU के साथ आधुनिक पीसी लाखों हैश की प्रति सेकंड या अधिक गणना कर सकते हैं। और यह आपको एक सरल चयन के साथ पासवर्ड को तोड़ने की अनुमति देता है, जानवर बल के हमलों का उपयोग करके। लगता है कि एक 8 वर्ण पासवर्ड पर्याप्त सुरक्षित है? यदि पासवर्ड लोअर और अपर केस कैरेक्टर्स और नंबरों का उपयोग करता है, तो संभावित वर्णों की कुल संख्या 62 (26 + 26 + 10) है। 8 वर्णों के पासवर्ड के लिए, 62 ^ 8 विभिन्न संयोजन (218 ट्रिलियन के क्रम के) हैं। 1 बिलियन हैश प्रति सेकंड (एक ब्रूट बल हमले के लिए काफी छोटा) की गति से, पासवर्ड लगभग 60 घंटों में टूट जाएगा। और 6 अक्षरों की सबसे सामान्य पासवर्ड लंबाई के लिए, डिक्रिप्शन अवधि दो मिनट से कम होगी।

आप निश्चित रूप से उन उपयोगकर्ताओं की उपेक्षा कर सकते हैं जो छोटे और सरल पासवर्ड का उपयोग करते हैं, या सभी को 10-वर्ण के पासवर्ड का उपयोग स्वेच्छा से और जबरन, विराम चिह्न और सुमेरियन क्यूनिफॉर्म वर्णों के साथ करने के लिए मजबूर करते हैं। लेकिन धीमी हैश फ़ंक्शन का उपयोग करना बेहतर है। उदाहरण के लिए, आप निम्न कोड के साथ मैन्युअल रूप से 1000 बार हैश फ़ंक्शन को धीमा कर सकते हैं:

 function myhash($password, $unique_salt) { $salt = "f#@V)Hu^%Hgfds"; $hash = sha1($unique_salt . $password); //      1000 ,     1000 ,      for ($i = 0; $i < 1000; $i++) { $hash = sha1($hash); } return $hash; }

इसका उपयोग करते हुए, 60 घंटे के बजाय, हैकर लगभग 7 वर्षों के लिए 8-वर्ण का पासवर्ड तोड़ देगा। धीमा करने के लिए एक और अधिक सुविधाजनक तरीका क्रिप्ट () के माध्यम से PHP में कार्यान्वित ब्लोफ़िश एल्गोरिथ्म का उपयोग करना है । आप इस एल्गोरिथ्म की उपलब्धता की जांच कर सकते हैं यदि (CRYPT_BLOWFISH == 1) गूंज 'यह काम करता है!' PHP 5.3 में, ब्लोफ़िश पहले से ही शामिल है।

 function myhash($password, $unique_salt) { //   blowfish     22  return crypt($password, '$2a$10$'.$unique_salt); }

$ 2 ए एक संकेत है कि ब्लोफिश एल्गोरिथ्म का उपयोग किया जाएगा
$ 10 एक सुविधा को धीमा करने की शक्ति है। इस मामले में, यह 2 ^ 10 है। यह 04 से 31 तक मान ले सकता है

हम इसका उपयोग एक ठोस उदाहरण पर करते हैं:

 $hash = '$2a$10$dfda807d832b094184faeu1elwhtR2Xhtuvs3R9J1nfRGBCudCCzC'; $password = "verysecret"; if (check_password($hash, $password)) { echo " !"; } else { echo " !"; } function check_password($hash, $password) { //  29  ,  , « »   «»    $full_salt $full_salt = substr($hash, 0, 29); //  -   $password $new_hash = crypt($password, $full_salt); //   («»  «») return ($hash == $new_hash);

इस तरह के एक कोड को अधिकतम सुरक्षा प्रदान करनी चाहिए - सामान्य जटिलता और लंबाई (निश्चित रूप से सॉफ्टवेयर विधियों का उपयोग करके) का पासवर्ड चुनना लगभग असंभव है।

हैश और सुरक्षित पासवर्ड भंडारण के बारे में थोड़ा सा

हैश फंक्शंस

रेनबो टेबल

रेनबो टेबल। भाग २

हश दर

More articles: