Salting mật khẩu của bạn: Thực tiễn tốt nhất?

Tôi đã luôn tò mò ... Điều gì tốt hơn khi muối mật khẩu để băm: tiền tố hoặc hậu tố? Tại sao? Hoặc nó có vấn đề, miễn là bạn muối?

Để giải thích: Hiện tại tất cả chúng ta đều biết rằng chúng ta nên muối mật khẩu trước khi băm mật khẩu để lưu trữ trong cơ sở dữ liệu [ Chỉnh sửa: Vì vậy, bạn có thể tránh những điều như những gì đã xảy ra với Jeff Atwood gần đây ]. Thông thường, điều này được thực hiện bằng cách nối muối với mật khẩu trước khi chuyển qua thuật toán băm. Nhưng các ví dụ khác nhau ... Một số ví dụ trả trước muối trước mật khẩu. Một số ví dụ thêm muối sau mật khẩu. Tôi thậm chí đã thấy một số người cố gắng đặt muối vào giữa.

Vậy đâu là phương pháp tốt hơn, và tại sao? Có một phương pháp làm giảm cơ hội va chạm băm? Google Googling của tôi đã không đưa ra một phân tích tốt về chủ đề này.

Chỉnh sửa: Câu trả lời tuyệt vời folks! Tôi xin lỗi tôi chỉ có thể chọn một câu trả lời. :)

Tiền tố hoặc hậu tố là không liên quan, nó chỉ là về việc thêm một số entropy và độ dài cho mật khẩu.

Bạn nên xem xét ba điều sau:

1. Muối phải khác nhau cho mỗi mật khẩu bạn lưu trữ. (Đây là một sự hiểu lầm khá phổ biến.)
2. Sử dụng một trình tạo số ngẫu nhiên an toàn bằng mật mã.
3. Chọn một muối đủ dài. Hãy nghĩ về vấn đề sinh nhật.

Có một câu trả lời tuyệt vời của Dave Sherohman cho một câu hỏi khác tại sao bạn nên sử dụng muối được tạo ngẫu nhiên thay vì tên người dùng (hoặc dữ liệu cá nhân khác). Nếu bạn làm theo những gợi ý đó, thực sự không có vấn đề gì khi bạn bỏ muối vào.

Tôi nghĩ đó là tất cả ngữ nghĩa. Đặt nó trước hoặc sau không quan trọng ngoại trừ chống lại một mô hình mối đe dọa rất cụ thể.

Thực tế là nó có nhiệm vụ đánh bại các bảng cầu vồng.

Mô hình mối đe dọa mà tôi đã đề cập sẽ là kịch bản trong đó đối thủ có thể có các bảng cầu vồng của các muối thông thường được nối / thêm vào mật khẩu. (Nói NSA) Bạn đoán họ có được nối thêm hoặc trả trước nhưng không phải cả hai. Điều đó thật ngớ ngẩn, và đó là một dự đoán kém.

Sẽ tốt hơn nếu giả định rằng họ có khả năng lưu trữ các bảng cầu vồng này, nhưng không, giả sử, các bảng có muối lạ xen kẽ ở giữa mật khẩu. Trong đó trường hợp hẹp, tôi sẽ phỏng đoán rằng xen kẽ sẽ là tốt nhất.

Như tôi đã nói. Đó là ngữ nghĩa. Chọn một loại muối khác nhau cho mỗi mật khẩu, một loại muối dài và bao gồm các ký tự lẻ trong đó như các ký hiệu và mã ASCII: ©

Câu trả lời thực sự, mà dường như không ai chạm vào, là cả hai đều sai . Nếu bạn đang thực hiện tiền điện tử của riêng mình, bất kể một phần tầm thường mà bạn nghĩ bạn đang làm, bạn sẽ phạm sai lầm.

HMAC là một cách tiếp cận tốt hơn, nhưng ngay cả khi bạn đang sử dụng thứ gì đó như SHA-1, bạn đã chọn một thuật toán không phù hợp để băm mật khẩu do thiết kế của nó cho tốc độ. Sử dụng một cái gì đó như bcrypt hoặc có thể là tiền điện tử và loại bỏ hoàn toàn vấn đề khỏi tay bạn.

Ồ, và thậm chí không nghĩ về việc so sánh các giá trị băm kết quả cho sự bằng nhau với ngôn ngữ lập trình hoặc các tiện ích so sánh chuỗi cơ sở dữ liệu của bạn. Những người so sánh nhân vật theo nhân vật và ngắn mạch như falsethể một nhân vật khác nhau. Vì vậy, bây giờ những kẻ tấn công có thể sử dụng các phương pháp thống kê để thử và tìm ra hàm băm là gì, một ký tự tại một thời điểm.

Nó không nên làm cho bất kỳ sự khác biệt. Băm sẽ không dễ đoán hơn bất cứ nơi nào bạn đặt muối. Va chạm băm là cả hiếm và không thể đoán trước, do cố tình phi tuyến tính. Nếu nó tạo ra sự khác biệt cho bảo mật, điều đó sẽ gợi ý một vấn đề với băm, không phải là muối.

Nếu sử dụng hàm băm bảo mật bằng mật mã, việc bạn đặt trước hay hậu tố không thành vấn đề; một điểm băm là một thay đổi bit duy nhất trong dữ liệu nguồn (bất kể ở đâu) sẽ tạo ra một hàm băm khác nhau.

Có gì là quan trọng, tuy nhiên, được sử dụng muối lâu, tạo ra chúng với một mật mã PRNG thích hợp, và có muối cho mỗi người dùng. Lưu trữ muối cho mỗi người dùng trong cơ sở dữ liệu của bạn là không một vấn đề an ninh, sử dụng một hash trang web rộng là .

Trước hết, thuật ngữ "bảng cầu vồng" luôn bị sử dụng sai. Bảng "cầu vồng" chỉ là một loại bảng tra cứu cụ thể , một bảng cho phép nén một loại dữ liệu cụ thể trên các phím. Bằng cách tính toán giao dịch cho không gian, một bảng tra cứu mất 1000 TB có thể được nén hàng nghìn lần để có thể được lưu trữ trên một ổ đĩa nhỏ hơn.

Bạn nên lo lắng về việc băm để bảng tra cứu mật khẩu, cầu vồng hoặc cách khác.

@ onitherone.livejournal.com:

Kẻ tấn công có 'bảng cầu vồng' không bao gồm các giá trị băm của các từ trong từ điển, mà là trạng thái của phép tính băm ngay trước khi hoàn thành phép tính băm.

Sau đó, có thể rẻ hơn khi bắt buộc nhập một tệp mật khẩu bằng muối postfix so với muối tiền tố: với mỗi từ trong từ điển, bạn sẽ tải trạng thái, thêm các byte muối vào hàm băm, sau đó hoàn tất nó. Với muối có tiền tố, sẽ không có gì chung giữa các tính toán cho mỗi từ trong từ điển.

Đối với một hàm băm đơn giản quét tuyến tính thông qua chuỗi đầu vào, chẳng hạn như một trình tạo cộng hưởng tuyến tính đơn giản, đây là một cuộc tấn công thực tế. Nhưng hàm băm bảo mật bằng mật mã được thiết kế có chủ ý để có nhiều vòng, mỗi vòng sử dụng tất cả các bit của chuỗi đầu vào, do đó, việc tính toán trạng thái bên trong ngay trước khi thêm muối không có ý nghĩa sau vòng đầu tiên. Ví dụ, SHA-1 có 80 viên đạn.

Hơn nữa, các thuật toán băm mật khẩu như PBKDF soạn thảo hàm băm của chúng nhiều lần (nên lặp lại PBKDF-2 tối thiểu 1000 lần, mỗi lần lặp lại áp dụng SHA-1 hai lần) khiến cho cuộc tấn công này trở nên không thực tế.

Băm BCrypt nếu nền tảng có nhà cung cấp. Tôi thích cách bạn không lo lắng về việc tạo ra muối và bạn có thể làm cho chúng mạnh hơn nữa nếu bạn muốn.

Chèn muối một số ký tự tùy ý vào mật khẩu là trường hợp ít được mong đợi nhất và do đó là "an toàn" nhất về mặt xã hội, nhưng nó thực sự không có ý nghĩa lắm trong trường hợp chung miễn là bạn sử dụng mật khẩu dài, duy nhất cho mỗi mật khẩu dây cho muối.