首页 > 编程工具, 网络安全 > 如何防范密码被破解

如何防范密码被破解

2010年2月1日 发表评论 阅读评论 18,215 人阅读    

你会用什么样的算法来为你的用户保存密码?如果你还在用明码的话,那么一旦你的网站被hack了,那么你所有的用户口令都会被泄露了,这意味着,你的系统或是网站就此完蛋了。所以,我们需要通过一些不可逆的算法来保存用户的密码。比如:MD5, SHA1, SHA256, SHA512, SHA-3,等Hash算法。这些算法都是不可逆的。系统在验证用户的口令时,需要把Hash加密过后的口令与后面存放口令的数据库中的口令做比较,如果一致才算验证通过。

但你觉得这些算法好吗?我说的是:MD5, SHA1, SHA256, SHA512, SHA-3。如果你使用的是MD5算法来加密你的口令,如果你的口令长度只有小写字母再加上数字,假设口令的长度是6位,那么在目前一台比较新一点的PC机上,穷举所有的口令只需要40秒钟。而据我们了解,几乎有90%以上的用户只用小写字母和数字来组织其口令。对于6位长度的密码只需要最多40秒就可以破解了,这可能会吓到你。

如果你愿意花2000美金和一周的时间来构建一个CUDA,那么,你可以在你组建的这个集群中使用进行密码穷举运算,其速度是,1秒钟可以计算7亿个口令。对于目前实际当中使用的比较复杂的口令,其破解率也可以高达每秒一个。当然,这里说的算法是MD5,SHA之类的算法。

那么,对于这样的一种情况来说,我们怎么办?我们还是有办法的。

我们知道MD5,SHA的算法速度太快了。所以,我们需要一个“慢一点”的加密算法。呵呵。bcrypt是这样的一个算法,因为它很慢,对于计算机来说,其慢得有点BT了,但却慢得刚刚好!对于验证用户口令来说是不慢的,对于穷举用户口令来说,其会让那些计算机变得如同蜗牛一样。

因为bcrypt采用了一系列各种不同的Blowfish加密算法,并引入了一个work factor,这个工作因子可以让你决定这个算法的代价有多大。因为这些,这个算法不会因为计算机CPU处理速度变快了,而导致算法的时间会缩短了。因为,你可以增加work factor来把其性能降下来。呵呵。

那么,bcrypt到底有多慢?如果和MD5一起来比较的话,如果使用值为12的work factor的话,如果加密“cool”的话,bcrypt需要0.3秒,而MD5只需要一微秒(百万分之一秒)。也就是说,前面我们说的那个只需要40秒就可以穷举完所有的可能的MD5编码的口令的算法,在使用bcrypt下,需要12年。

这就是bcrypt给你带来的选择,你可以一个安全的口令和一个快速的加密算法,或是一个不怎么安全的口令和一个性能不好的加密算法


关注CoolShell微信公众账号可以在手机端搜索文章

(转载本站文章请注明作者和出处 酷 壳 – CoolShell.cn ,请勿用于任何商业用途)

——=== 访问 酷壳404页面 寻找遗失儿童。 ===——


本广告收入已由广告主捐给Wikipedia

好烂啊有点差凑合看看还不错很精彩 (14 人打了分,平均分: 4.29 )
Loading...
  1. blackanger
    2012年1月5日17:11 | #1

    这篇文章是翻译的http://codahale.com/how-to-safely-store-a-password/ 吧?

  2. cccc
    2012年2月12日12:32 | #2

    固定salt加随机salt
    再整体sha512,破解需要拿到三个东西,源代码,密码数据,salt数据,然后再进行穷举破解

  3. hellokitty
    2013年5月27日21:15 | #3

    @supersonic
    yes, 需要一个 secrit 字段来共同进行 md5 加密就OK了, 如果secrit 字段足够长,并且足够复杂,而且对同一个用户有访问次数限制的话,理论上来说是不能被破解的

  4. 叶子
    2014年11月4日21:56 | #4

    皓哥,在做一个3des加密的,然后密钥过一段时间就要变一下,那么数据库的密码就需要先解密再加密一次,那么密钥该保存在哪里呢,也保存在db? 那不是钥匙就放锁旁边了??

  5. 2016年5月28日09:21 | #5

    据说bcrypt算法永不过时

评论分页
1 2 2078
  1. 2011年12月29日12:40 | #1
  2. 2012年1月1日21:04 | #2
  3. 2012年1月4日09:41 | #3
  4. 2012年1月6日12:03 | #4
  5. 2012年1月18日16:15 | #5
  6. 2012年2月8日23:25 | #6
  7. 2012年2月11日02:17 | #7
  8. 2012年2月29日15:24 | #8
  9. 2012年3月10日13:37 | #9
  10. 2012年3月21日23:54 | #10
  11. 2012年3月22日21:32 | #11
  12. 2012年3月27日20:28 | #12
  13. 2012年8月1日10:19 | #13
  14. 2012年9月21日11:27 | #14
  15. 2012年12月28日19:47 | #15
  16. 2013年1月14日10:23 | #16
  17. 2013年2月16日13:01 | #17
  18. 2013年3月20日15:03 | #18
  19. 2013年4月25日09:16 | #19
  20. 2013年5月20日23:53 | #20
  21. 2013年6月8日11:50 | #21
  22. 2013年6月23日18:13 | #22
  23. 2013年8月24日19:53 | #23
  24. 2013年11月10日16:21 | #24
  25. 2013年11月10日16:24 | #25
  26. 2014年2月3日01:51 | #26
  27. 2014年2月11日16:07 | #27
  28. 2014年3月16日13:52 | #28
  29. 2014年5月6日16:24 | #29
  30. 2014年7月15日11:30 | #30
  31. 2014年9月3日11:29 | #31
  32. 2015年12月13日12:26 | #32