Có an toàn hơn để băm mật khẩu nhiều lần?

Tôi đã đọc một vài lần rằng khi lưu trữ mật khẩu, rõ ràng là nên 'nhân đôi băm' các chuỗi (ví dụ: với md5 rồi sha1, cả hai đều có muối).

Tôi đoán câu hỏi đầu tiên là "điều này có thực sự đúng không?" Nếu không, xin vui lòng, bỏ qua phần còn lại của câu hỏi này :)

Lý do tôi hỏi là trên mặt của nó, tôi sẽ nói rằng điều này có ý nghĩa. Tuy nhiên, khi tôi nghĩ về nó, mỗi khi một hàm băm được thử lại (có thể có thêm thứ gì đó vào nó), tất cả những gì tôi có thể thấy là có sự giảm bớt giới hạn trên về 'tính duy nhất' cuối cùng ... có liên quan đến đầu vào ban đầu.

Để tôi nói cách khác: chúng ta có x số chuỗi, khi được băm, được giảm xuống y chuỗi có thể. Đó là để nói, có những va chạm trong tập đầu tiên. Bây giờ đến từ tập thứ hai đến tập thứ ba, không thể xảy ra điều tương tự (ví dụ: va chạm trong tập hợp tất cả các chuỗi 'y' có thể dẫn đến cùng một hàm băm trong tập thứ ba)?

Trong đầu tôi, tất cả những gì tôi thấy là một 'kênh' cho mỗi lệnh gọi hàm băm, 'kênh' một tập hợp khả năng vô hạn vào một tập hợp hữu hạn, v.v., nhưng rõ ràng mỗi cuộc gọi đều hoạt động trên tập hữu hạn trước nó, cho chúng ta đặt không lớn hơn đầu vào.

Có lẽ một ví dụ sẽ giải thích sự huyên thuyên của tôi? Lấy 'hash_feft_a' sẽ cho 'a' và 'b' băm '1', và sẽ cho 'c' và 'd' băm '2'. Sử dụng chức năng này để lưu trữ mật khẩu, ngay cả khi mật khẩu là 'a', tôi có thể sử dụng mật khẩu 'b'.

Lấy 'hash_feft_b' sẽ cho '1' và '2' hàm băm '3'. Nếu tôi sử dụng nó như một 'băm thứ cấp' sau 'hash_feft_a' thì ngay cả khi mật khẩu là 'a' tôi có thể sử dụng 'b', 'c' hoặc 'd'.

Trên hết, tôi nhận được rằng nên sử dụng muối đó, nhưng chúng không thực sự thay đổi thực tế rằng mỗi lần chúng ta ánh xạ các đầu vào 'x' thành đầu ra 'nhỏ hơn x'. Tôi không nghĩ.

Ai đó có thể vui lòng giải thích cho tôi những gì tôi đang thiếu ở đây?

Cảm ơn!

EDIT: vì những gì đáng giá, tôi không tự làm điều này, tôi sử dụng bcrypt. Và tôi không thực sự lo lắng về việc nó có hữu ích cho việc 'sử dụng chu kỳ' cho một 'hacker' hay không. Tôi thực sự chỉ đang tự hỏi liệu quá trình này có làm giảm "bảo mật" từ quan điểm va chạm băm hay không.

Điều này phù hợp hơn trên security.stackexchange nhưng ...

Vấn đề với

hash1(hash2(hash3(...hashn(pass+salt)+salt)+salt)...)+salt)

là nó chỉ mạnh như hàm băm yếu nhất trong chuỗi. Ví dụ: nếu hàm băm (hàm băm trong cùng) tạo ra xung đột, toàn bộ chuỗi băm sẽ tạo ra xung đột ( không phân biệt các giá trị băm khác trong chuỗi ).

Một chuỗi mạnh mẽ hơn sẽ là

hash1(hash2(hash3(...hashn(pass + salt) + pass + salt) + pass + salt)...) + pass + salt)

Ở đây chúng tôi tránh được sự cố va chạm sớm và về cơ bản chúng tôi tạo ra một loại muối phụ thuộc vào mật khẩu cho hàm băm cuối cùng.

Và nếu một bước trong chuỗi va chạm thì điều đó không thành vấn đề bởi vì trong bước tiếp theo, mật khẩu được sử dụng lại và sẽ cho kết quả khác nhau cho các mật khẩu khác nhau.

Sử dụng các thuật toán băm khác nhau là một ý tưởng tồi - nó sẽ làm giảm entropy thay vì tăng nó.

Tuy nhiên, giả sử bạn có thuật toán băm mạnh về mật mã và muối tốt, việc áp dụng cùng hàm băm nhiều lần sẽ khiến quá trình băm tốn kém hơn về mặt tính toán. Lợi ích của việc này là khi các phương pháp bẻ khóa mật khẩu khác không thành công (đoán, tấn công từ điển, bảng cầu vồng, v.v.) và kẻ tấn công buộc phải sử dụng các kỹ thuật vũ phu, chúng sẽ mất nhiều thời gian hơn để thử từng mật khẩu, đơn giản vì họ phải áp dụng cùng hàm băm thường xuyên hơn. Vì vậy, nếu một vòng băm sẽ cần một tháng vũ phu, áp dụng nó mười hai lần sẽ tăng thời gian ước tính lên một năm.

Các thuật toán băm gần đây như bcrypt xây dựng trên ý tưởng này; chúng chứa một tham số để kiểm soát độ phức tạp tính toán của hàm băm, để bạn có thể mở rộng quy mô khi tốc độ phần cứng tăng lên: khi phần cứng trở nên nhanh hơn theo hệ số hai, bạn tăng độ phức tạp để bù lại, do đó thời gian cần thiết để bắt buộc băm vẫn không đổi.

Đừng cố gắng viết sơ đồ băm mật khẩu của riêng bạn trừ khi bạn sẵn sàng tham gia một khóa học về mật mã và / hoặc kỹ thuật bảo mật.

Bạn nên sử dụng một triển khai băm mật khẩu được thiết lập tốt, lần lượt sẽ sử dụng chức năng phái sinh chính ( KDF ) như PBKDF2, bcrypt, scrypt hoặc Argon2 mới hơn.

Các KDF tốt bao gồm một trình xử lý công việc, thường là một số lần lặp lại, để tăng chi phí cho các cuộc tấn công ngoại tuyến. Người ta có thể nói rằng các KDF này băm mật khẩu nhiều lần, sử dụng cùng một thuật toán mỗi lần. Không có điểm nào trong việc sử dụng thuật toán tiêu hóa nhiều thông điệp, như được chỉ ra bởi những người khác.

Nói chung, bạn không cần sử dụng nhiều hơn một thuật toán băm.

Những gì bạn cần làm là:

Sử dụng muối: muối không được sử dụng chỉ để làm cho mật khẩu của bạn an toàn hơn , nó được sử dụng để tấn công bảng cầu vồng. Bằng cách đó, ai đó sẽ có một công việc khó khăn hơn khi cố gắng tính toán trước hàm băm cho mật khẩu bạn lưu trữ trong hệ thống của bạn.

Sử dụng nhiều tương tác: thay vì chỉ thực hiện SHA (mật khẩu + muối), hãy thực hiện SHA (SHA (SHA (SHA (SHA (... SHA (mật khẩu + muối)))))). Hoặc, để đại diện theo cách khác:

hash = sha(password + salt)
for i=1 , i=5000, i++ {
    hash = sha(hash + salt);
}

Và, cuối cùng, chọn một chức năng băm tốt. SHA, MD5, v.v., không tốt vì chúng quá nhanh . Vì bạn muốn sử dụng hàm băm để bảo vệ, tốt hơn hết bạn nên sử dụng hàm băm chậm hơn. Ví dụ, hãy xem Bcrypt , PBKDF2 hoặc Scrypt .

chỉnh sửa : sau khi quan sát, chúng ta hãy thử xem một số điểm (xin lỗi, giải thích dài để đi đến cuối cùng, bởi vì nó có thể giúp người khác tìm kiếm câu trả lời tương tự):

Nếu hệ thống của bạn an toàn, như không ai sẽ có quyền truy cập vào mật khẩu được lưu trữ, bạn sẽ không cần băm. Mật khẩu sẽ là bí mật, không ai có được nó.

Nhưng không ai có thể đảm bảo rằng cơ sở dữ liệu với mật khẩu sẽ bị đánh cắp. Ăn cắp cơ sở dữ liệu, có tất cả các mật khẩu. Ok, hệ thống của bạn và công ty của bạn sẽ chịu tất cả các hậu quả của nó. Vì vậy, chúng tôi có thể cố gắng tránh rò rỉ mật khẩu này.

THÔNG BÁO rằng chúng tôi không lo lắng về các cuộc tấn công trực tuyến trong thời điểm này. Đối với một cuộc tấn công trực tuyến, giải pháp tốt nhất là làm chậm sau khi mật khẩu xấu, khóa tài khoản sau một số lần thử, v.v. Và điều đó không quan trọng bằng cách bạn mã hóa, băm, lưu trữ, v.v., mật khẩu của bạn. Tấn công trực tuyến là một vấn đề làm chậm các đầu vào mật khẩu .

Vì vậy, trở lại don't let them take my plain passwordsvấn đề. Câu trả lời rất đơn giản: đừng lưu trữ chúng dưới dạng văn bản đơn giản. OK đã nhận nó.

Làm thế nào để tránh điều đó?

Mã hóa mật khẩu (?). Nhưng, như bạn biết, nếu bạn mã hóa nó, bạn có thể giải mã lại, nếu bạn có khóa thích hợp. Và bạn sẽ kết thúc với vấn đề "nơi cất giấu" chìa khóa. Hum, không tốt, vì họ có cơ sở dữ liệu của bạn, họ có thể lấy chìa khóa của bạn. Ok, chúng ta đừng sử dụng nó.

Vì vậy, một cách tiếp cận khác: hãy chuyển đổi mật khẩu theo thứ khác không thể đảo ngược và lưu trữ nó. Và để xác minh xem mật khẩu được cung cấp có đúng không, chúng tôi thực hiện lại quy trình tương tự và kiểm tra xem hai giá trị tranformed có khớp hay không. Nếu chúng khớp = mật khẩu tốt đã được cung cấp.

Ok, cho đến nay rất tốt. Hãy sử dụng một số băm MD5 trong mật khẩu. Nhưng ... nếu ai đó có giá trị băm mật khẩu được lưu trữ của chúng tôi, anh ta có thể có rất nhiều sức mạnh máy tính để tính băm MD5 của mọi mật khẩu có thể (lực lượng vũ phu), vì vậy anh ta có thể tìm thấy mật khẩu ban đầu. Hoặc, thậm chí tệ nhất, anh ta có thể lưu trữ tất cả MD5 từ tất cả các kết hợp ký tự và dễ dàng tìm thấy mật khẩu. Vì vậy, hãy thực hiện nhiều lần lặp, điều HASH (HASH (HASH ())), để làm cho nó khó hơn, vì sẽ mất nhiều thời gian hơn.

Nhưng ngay cả điều đó có thể được lưu hành, bảng cầu vồng đã được tạo ra chính xác để tăng tốc chống lại loại bảo vệ này.

Vì vậy, hãy sử dụng một ít muối trên nó. Bằng cách này, tại mỗi tương tác, muối được sử dụng lại. Một người cố gắng tấn công mật khẩu của bạn sẽ phải tạo bảng cầu vồng xem xét rằng muối được thêm vào mỗi lần. Và khi anh ta tạo bảng cầu vồng đó, vì nó được tạo bằng một muối, anh ta sẽ phải tính toán lại với muối kia, vì vậy anh ta sẽ phải dành thời gian cho mỗi mật khẩu (= mỗi muối). Muối sẽ không thêm "phức tạp" hơn vào mật khẩu, nó sẽ khiến kẻ tấn công mất thời gian tạo bảng cầu vồng, nếu bạn sử dụng một muối cho mỗi mật khẩu, thì bảng từ một muối sẽ vô dụng với mật khẩu khác.

Và sử dụng nhiều hơn một hàm băm sẽ giúp gì ở đây? Không. Người tạo ra một cuộc tấn công cầu vồng cụ thể sẽ có thể tạo ra nó bằng cách sử dụng một hoặc nhiều băm.

Và việc sử dụng nhiều hơn một hàm băm có thể dẫn bạn đến một vấn đề: nó an toàn như hàm băm yếu nhất bạn sử dụng. Nếu ai đó tìm thấy xung đột trong một thuật toán băm, thì đó là hàm băm sẽ được khai thác, tại bất kỳ điểm nào của quá trình lặp, để phá mật khẩu. Vì vậy, bạn không đạt được bất cứ điều gì bằng cách sử dụng nhiều thuật toán băm hơn, tốt hơn là chỉ chọn một thuật toán tốt. và sử dụng nó. Và nếu yuo từng nghe rằng nó đã bị hỏng, hãy nghĩ cách bạn sẽ thay đổi nó trong ứng dụng của mình.

Và tại sao sử dụng bcrypt hoặc một cái gì đó tương tự (bạn nói bạn sử dụng nó): bởi vì kẻ tấn công sẽ phải mất nhiều thời gian hơn để tạo các bảng. Đó là lý do tại sao sử dụng MD5 + chờ đợi (3 giây) không giúp ích gì: dù sao cuộc tấn công sẽ ngoại tuyến, vì vậy kẻ tấn công có thể tạo các bảng mà không bị trì hoãn (3 giây).

Hiểu biết của tôi là sử dụng nhiều thuật toán băm là để đánh bại các bảng cầu vồng . Sử dụng một loại muối tốt cũng có tác dụng, nhưng tôi đoán đó là cấp độ bảo vệ thứ hai.

Điều này không an toàn hơn. Tuy nhiên, bạn có một giao thức nhận dạng dựa trên hàm băm nhiều lần với cùng một chức năng.

Điều này đi theo cách đó. Giá trị được lưu là hash ^ n (pass) trong máy tính A. A yêu cầu B xác thực và cung cấp cho B số nguyên n. B thực hiện băm tính toán ^ (n-1) (đạt) và gửi lại cho A.

Kiểm tra xem băm (băm ^ (n-1) (pass)) == hash ^ n (pass). Nếu nó là sự thật, thì việc xác thực được thực hiện. Nhưng sau đó, A lưu trữ băm ^ (n-1) (đạt) và xác thực tiếp theo, sẽ cung cấp cho B n-1 thay vì n.

Điều này đảm bảo rằng mật khẩu không bao giờ được trao đổi rõ ràng, rằng A không bao giờ biết mật khẩu là gì và xác thực được bảo vệ bằng cách phát lại. Tuy nhiên, điều này có nhược điểm là yêu cầu mật khẩu với vòng đời hữu hạn. Khi n đạt giá trị 2, mật khẩu mới phải được chọn sau khi xác thực.

Một cách sử dụng khác của nhiều hàm băm là công cụ HMAC, để đảm bảo tính xác thực và tính toàn vẹn của một yêu cầu. Để biết thêm về HMAC, hãy xem http://en.wikipedia.org/wiki/HMAC .

Hầu hết việc sử dụng nhiều hàm băm trong thế giới thực là quá mức cần thiết. Trong trường hợp của bạn, nó có vẻ là. Lưu ý rằng nếu bạn sử dụng một số hàm băm, tất cả chúng sẽ không có cùng một entropy, do đó điều này làm giảm sức mạnh của hàm băm. Ví dụ, md5 có ít entropy hơn sha1, vì vậy sử dụng sha1 trên md5 sẽ không cải thiện độ mạnh của hàm băm. Sức mạnh nói chung sẽ bằng với sức mạnh của hàm băm yếu hơn.