很好的問題,很高興您提出了。我希望人們在Google上找到該線程,以便他們-不會犯許多其他公司所犯的錯誤。
您不應該只是 hash 密碼,則應 salt ,並確保您的哈希算法使用某種形式的 SlowEquals 。您不應該止步於此:您應該使用一種安全的散列算法,該算法可以大大地抵抗衝突 ,例如bcrypt或scrypt。
為什麼鹽?什麼是衝突?
我將以md5為例,因為它是眾所周知的。 請勿使用它,因為它很容易發生碰撞,而且速度很快,這意味著它更容易折斷。假設您只是在不加鹽的情況下哈希密碼。您幾乎每次都會產生一個靜態輸出。
例如,將“ myDarnPassword ”散列為md5時,最終將轉換為“ aca6716b8b6e7f0afa47e283053e08d9 ”。此時,您可以發起字典攻擊並使用Rainbow表。您甚至可以生成一個數據庫,該數據庫將盡可能多的隨機字符轉換成易於搜索的數據庫,而無需費時的彩虹表查找。您可以隨著時間的流逝慢慢地創建它,以後再查找哈希。
您將創建一個如下表:
+ --------- ---------- + ---------------------------------- + |密碼| UNSALTED_HASH | + ------------------- + --------------------------- ------- + | myDarnPassword | aca6716b8b6e7f0afa47e283053e08d9 | + ------------------- + --------------------------- ------- + | pleaseDontSueMe11 | 0dd395d0ec612905bed27020fb29f8d3 | + ------------------- + --------------------------- ------- +
然後,您將像這樣從數據庫中進行選擇:
SELECT [password] FROM [table] WHERE [ unsalted_hash] ='aca6716b8b6e7f0afa47e283053e08d9'
它將返回 myDarnPassword , plus 發生的任何衝突。
有了足夠的處理能力和時間,您就可以創建數万億個組合,並且很容易在很短的時間內破解大量密碼(由於數量龐大,我建議將數據庫拆分成多個密碼長度) )。但是,您將需要大量的硬盤空間。
在那一點上,您真正要做的就是查找它,而不會每次都在蠻力地浪費一切的處理能力。而且,如果您過去曾從數據庫中竊取過他人的密碼,則可以添加這些密碼,並將其轉換為哈希值。許多網站已經做到了這一點。
當網站驗證您的密碼時,他們會將密碼與存儲的哈希進行比較,如果該密碼與數據庫中的哈希匹配,則被視為有效密碼。然後,您可以允許用戶登錄。
對哈希值進行設置可以幫助抵禦此攻擊,但無法避免衝突。您可以將被入侵的哈希與生成衝突的哈希列表進行比較,然後在網站上輸入該密碼,即使您輸入的密碼錯誤:只要哈希驗證有效,您就可以被偽裝。
誰在乎有人破解我的密碼?我不在乎!
下面僅是一小部分示例,這些示例說明了仿冒者和其他惡意人員可以使用您未加密且未加鹽的純文本密碼。它不一定可以直接用於定位您,但是假設 Hacker 想要定位 Person A 。讓我們來推斷一下如何定位人員A 。
- 您是
Hacker 。您的工作是黑客入侵網站並開發數據庫以匯總此信息。 -
人員A 是一個有興趣的人。 Person A 出現在您的一個被黑客入侵的網站數據庫中。現在,您知道他們的電子郵件地址,以及他們用於該網站的密碼。
- 現在,您可以嘗試使用從該網站竊取的
密碼登錄其電子郵件地址。親愛的,它起作用了! - 現在您可以訪問他們的電子郵件,您可以通過
IMAP 或通過他們的Web郵件下載他們的所有電子郵件。此時,您會發現很多有趣的東西。他們正在與人員B 通信。 - 您實際上可以 google 一些人的用戶名和電子郵件地址,它可以顯示他們發布的網站。這將打開用戶使用的其他網站。也許您可以嘗試入侵這些網站,或者您可以推斷出它們的內容。現在,您可以
假裝像他們,或查找其他信息。信息/活動可以包括: - 用戶名。
人員A 在網上發佈為 Mark Buffalo 。那是一個相對獨特的名字。然後,您可以搜索Mark Buffalo,並查找他發布的網站。也許他在其他網站上展現了更多個性? - 密碼。也許
Mark Buffalo 在該網站上具有相同的密碼。也許您可以登錄該網站並查看他與他人的私人交流?
- 個人信息。由於您知道
Mark Buffalo 的身份,如果他在某些網站上共享個人信息該怎麼辦?如果他在craigslist上發布以尋找男性或女性護送,並將他的電話號碼留在那裡,該怎麼辦?您已經找到了他的電話信息,因此可以找到一種方法來設置他並勒索他,以獲取金錢/信息/權力。除非您不包括電話號碼,否則這與給密碼加鹽沒有太大關係,但是由於您的洩漏,他們在另一個網站上找到了他們的電話號碼。這是可以針對您收集和使用信息的許多非常強大的方法之一。畢竟,這是一個 Information Security 論壇,因此我想使用此示例。 - 家庭信息。現在越來越令人毛骨悚然。我們有馬克·布法羅的個人信息。讓我們看看他的社交網絡。哦,他有一個
Facebook 帳戶(我沒有)。我們可以使用相同的密碼訪問嗎?如果Buffalo使用的是相同的密碼/電子郵件組合,則可能是這樣。您可能可以從您之前訪問的他的電子郵件中推斷出這一點,在那裡您發現了很多有趣的東西。現在,我們可以登錄並閱讀他的Facebook消息。現在我們知道他的家人是誰。然後,我們可以更輕鬆地協調勒索攻擊。 - 其他登錄信息。由於我們可以更早地訪問他的電子郵件,因此我們看到他也有一個Skype帳戶。其中之一是秘密。我們登錄後,看到他和Skype上的人調情。現在,我們有更多勒索材料。
- 假冒。您現在可以在各種網站上登錄並模擬Buffalo。也許他實際上是個準射手,從來沒有去過任何護送或類似的活動?好了,現在您可以通過使用他的憑據在網絡上模擬他,至少在外觀上將他變成尋求護送的重犯。想像一下,可能會對被錯誤指控並被迫辭職的政客造成的損害。
- 使黑客更容易被黑客入侵的事物。然後,您可以將帶有感染附件的電子郵件發送給
人員B ,並假裝自己認識他。您已經閱讀了足夠多的電子郵件,因此可以模仿 Mark Buffalo 到看上去就像他一樣。您以一種使 Person B 毫無疑問的方式製作電子郵件的方式,現在您可以對 Person B 做同樣的事情,或更糟的是。
ol> 而這只是一小部分想法。別人的憑證有很多不同的用途。對您的密碼進行加鹽和哈希處理,使用抗衝突的哈希算法(例如bcrypt和scrypt)以及 prevent SQL注入攻擊。請不要把我變成尋求護送的褻瀆!保存Mark Buffalo!
(我知道有些網站可能會在您使用其他IP時阻止您訪問其服務的嘗試,但是有很多解決方法,並非所有網站都這樣做) 。
順便說一句,祝賀您被黑客入侵後可能會提起集體訴訟。