पासवर्ड सुरक्षा को कैसे बिगाड़ें, हबर के टिप्स

हाल के एक लेख में, "पासवर्ड कैसे और कैसे नहीं है" , एक स्थानीय पैरामीटर (जिसे काली मिर्च भी कहा जाता है) का उपयोग पासवर्ड सुरक्षा की एक और रेखा के रूप में किया गया था। इस तथ्य के बावजूद कि यह समाधान हल करने की तुलना में अधिक समस्याएं पैदा करता है, अधिकांश टिप्पणीकारों ने इस विचार का समर्थन किया, और जो असहमत हैं, हमेशा की तरह, दोष दिया। मेरे सिर में दुनिया ढह गई और मैंने इस लेख को लिखने का फैसला किया।

दिल

काली मिर्च एक ऐसा वैश्विक रैंडम स्ट्रिंग है जो सभी पासवर्ड (नमक को छोड़कर) में जोड़ा जाता है। यह गुप्त (नमक के विपरीत) है। इस प्रकार, आधार प्राप्त करने के बाद, पासवर्ड सीखना असंभव हो जाता है। और सब कुछ अच्छा लगने लगा ...

विकलांगता का मुद्दा

काली मिर्च प्रकृति में वैश्विक है। यदि आप इसे बदलना चाहते हैं, उदाहरण के लिए, रिसाव की स्थिति में, तो आपको सभी पासवर्ड बदलने होंगे।

भंडारण की समस्या

काली मिर्च को इस तरह से संग्रहित किया जाना चाहिए कि यह अनुप्रयोग के लिए सुलभ हो, लेकिन हमलावर के लिए सुलभ न हो। एक तिजोरी में एक फ्लैश ड्राइव, ज़ाहिर है, एक विकल्प है, लेकिन स्पष्ट रूप से उन साइटों और वेब अनुप्रयोगों के लिए उपयुक्त नहीं है जहां उपयोगकर्ता किसी भी समय लॉगिन करने की क्षमता रखता है।

"सुरक्षा का भ्रम" की समस्या

काली मिर्च, जैसा कि यह था, एक कमजोर पासवर्ड को "मजबूत" करता है, लेकिन केवल सिस्टम के आंतों में। लॉगिन फॉर्म के माध्यम से, पासवर्ड "asdf" को आसानी से चुना जाता है। एक कमजोर पासवर्ड एक कमजोर पासवर्ड है, इससे कोई फर्क नहीं पड़ता कि आप खुद को कैसे धोखा देते हैं।

कार्यान्वयन की समस्या

काली मिर्च के उपयोग की सिफारिश करने वाला एक भी अकादमिक पेपर या आरएफसी या विस्तृत अध्ययन नहीं है।
ज्ञात सिद्ध एल्गोरिदम का कोई कार्यान्वयन नहीं है जो एक तर्क के रूप में एक स्थानीय पैरामीटर ले जाएगा।
नमक - हाँ, काली मिर्च - नहीं।
एक बहुत ही महत्वपूर्ण निष्कर्ष इस प्रकार है: आपका कार्यान्वयन एक क्रिप्टो बाइक होगी । सभी आगामी परिणामों के साथ।

डेमो समय

एक अनुभवी डेवलपर जानता है कि हैश धीमा और नमकीन होना चाहिए, इसलिए यह bcrypt का उपयोग करता है।
Habré पर एक लेख पढ़ने के बाद वह काली मिर्च के साथ यह सब मजबूत करने का फैसला करता है।
और एक उपयोगकर्ता अपनी साइट पर आता है, और एक उन्नत व्यक्ति जो जानता है कि पासवर्ड जटिल होना चाहिए:

<?php //  .  .   . $pepper = '.dQUEtby7P35;k"5EhPB<j.;,9hqvs!(<"B]=#dBfhnyaN)v>8Z_bs%YJW/u~{w5:4B!s5F>'; //   - .   . $password = 'E&z89Usr?R7VF.^'; // ! $hash = password_hash($pepper . $password, PASSWORD_BCRYPT); var_dump($hash); //string(60) "$2y$10$0V95jRy9I.P3t7YRiMHT3O7JEveN1Gya/LbvNJ.H6K1mVPxPFRsUm" //     , ..    

और अब, लॉगिन करें (अपने हाथ देखें!):

 <?php //    $pepper = '.dQUEtby7P35;k"5EhPB<j.;,9hqvs!(<"B]=#dBfhnyaN)v>8Z_bs%YJW/u~{w5:4B!s5F>'; //    (  ) $hash = '$2y$10$0V95jRy9I.P3t7YRiMHT3O7JEveN1Gya/LbvNJ.H6K1mVPxPFRsUm'; // !    !     ! $password = 'habrahabr'; //      echo password_verify($pepper . $password, $hash) ? 'Login OK' : 'Wrong password'; // Login OK // WTF??? 

ऐसे सरल तरीके से, हमने अपनी सभी रक्षा को शून्य से गुणा किया।

अपडेट पोस्ट करें

शपथ PHP?
इसे आज़माएँ:

 #!/usr/bin/env python import bcrypt pepper = '.dQUEtby7P35;k"5EhPB<j.;,9hqvs!(<"B]=#dBfhnyaN)v>8Z_bs%YJW/u~{w5:4B!s5F>' password = 'E&z89Usr?R7VF.^' hashed = bcrypt.hashpw(pepper + password, bcrypt.gensalt()) print(hashed) password = 'habrahabr' if bcrypt.hashpw(pepper + password, hashed) == hashed: print('Login OK') else: print('Wrong password') 

क्या यह आपके लिए स्पष्ट है कि आपको अंत में जोड़ने की आवश्यकता है?
आपको क्या लगता है कि यह काम करेगा? क्या कोई RFC है जहाँ इसे लिखा गया है?
जहां भी आप काली मिर्च डालते हैं, यह एक साइकिल है ।

मैंने लेख में क्या वर्णित किया है - डुबकी और लंबे समय से ज्ञात है?
लेकिन आप इस बारे में चुप क्यों थे? किसी तरह मैं कभी हबेरा पर एक टिप्पणी नहीं मिला जिसमें आप संभावित समस्याओं के बारे में चेतावनी देंगे।
आह, हाँ, यह स्पष्ट है