作者：小蒋不素小蒋https://www.cnblogs.com/xjnotxj最早在大学的时候，只知道用 MD5 来存用户的账号的密码，但其实这很是不宁静，而所用到的哈希函数，深入挖掘，也发现并不简朴……一、普通的 Hash 函数哈希（散列）函数是什么就不赘述了。1、不推荐RC4, MD4, MD5, SHA-0, SHA-1, DES, 2DES 等2、推荐SHA-2(SHA-256, SHA-384, SHA-512)、SHA-3、Blake2 等美国国家尺度和技术协会（NIST）宣布，2010 年后开始逐步取消 SHA-1 作为宁静哈希算法的资格，取而代之的是其更强大的变异算法：SHA-224、SHA-256、SHA-384 和 SHA-512。无论是否遵循 NIST 的尺度，至少使用 SHA-256 算法加密密码总是好的。

二、应对普通哈希容易被破解的计谋就像攻与矛的相互增强，哈希函数哪怕用到 SHA-3 以上，都还是有被轻易破解的风险。于是我们有其他分外的措施来解决这个问题。1、加盐（salt）加盐就是对目的字段哈希前，拼接上另一个字段（salt）。

注：盐值加到字段之前较为普遍。加盐对防彩虹表很有效。注意点：盐不能太短盐不能重复使用（否则一破解，所有的都遭殃）盐随机变化（例如，虽用户名不重复，但用户名不能拿来当盐）盐的本质是将无差异攻击转化为针对性攻击。

1.1、【拓展】针对 salt 的另一种做法 —— HMACHMAC（Keyed-Hashing for Message Authentication）其实也是一种特殊的加盐，只是这个 salt 用更宁静的密钥取代了。详细先容：https://www.cnblogs.com/xjnotxj/p/11934756.html2、慢哈希高端的显卡（GPU）和定制的硬件可以每秒举行数十亿次哈希盘算，因此这类攻击依然可以很高效。为了降低攻击者的效率，我们可以使用慢哈希，即迭代举行许多次哈希运算。

那么迭代几多次比力宁静呢？来自 NIST 官方的建议：2000 年 9 月，建议迭代一千次2015 年 - 2018年，建议迭代一万次2017 年 6 月，建议迭代十万次三、密码哈希函数（Password Hash）密码哈希函数（Password Hash）可以用来应对普通哈希容易被破解的问题（也用到了上面所提到的两个计谋）。下面枚举的顺序是根据时间顺序，宁静水平和推荐指数也逐级递增。

1、PBKDF2比力老，很少有人用了，略。2、Bcrypt这是我司现在用的。（不外有过时的隐患，建议换掉）（1）先容bcrypt 是由 Niels Provos 和 DavidMazières 基于 Blowfish 密码设计的密码哈希函数，于 1999 年在 USENIX 上提出。bcrypt 函数是 OpenBSD 和其他系统（包罗某些 Linux 刊行版，例如 SUSE Linux）的默认密码哈希算法。

（2）使用（Node.js）安装：npmibcryptjsbcryptjs 跟 C++ 的 bcrypt 兼容，但因为是纯 JavaScript 编写的，因此速度较慢（约 30％）。用法：//Sync 方法（Async 方法略）：constbcryptjs=require('bcryptjs');//1、生成宁静因子constsalt=bcrypt.genSaltSync(10);//2、执行哈希函数constpassword=bcryptjs.hashSync(plainPassword,bcryptjs.genSaltSync(salt));//另一种方法：快速执行constSALT_FACTOR=10;constpassword=bcryptjs.hashSync(plainPassword,bcryptjs.genSaltSync(SALT_FACTOR));//3、比力是否相等bcryptjs.compareSync(plainPassword,password);注：代码里泛起的宁静因子，值的巨细决议了哈希函数会有多慢。

（即慢哈希）3、Scrypt没用过，略。4、Argon2（1）先容2013 年 NIST（美国国家尺度与技术研究院）邀请了一些密码学家一起，举行了密码哈希竞赛 PHC（Password Hashing Competition）。

Argon2 在 2015 年 7 月赢得了冠军。大赛列出了参赛算法可能面临的攻击手段：哈希算法破解（原值还原、哈希碰撞等）；查询表/彩虹表攻击；CPU 优化攻击；GPU、FPGA、ASIC 等专用硬件攻击；旁路攻击；（2）使用（Node.js）1、准备Youcanskipthissectioniftheprebuiltbinariesworkforyou.YouMUSThaveanode-gypglobalinstallbeforeproceedingwithinstall,alongwithGCC>=5/Clang>=3.3.OnWindows,youmustcompileunderVisualStudio2015ornewer.node-argon2worksonlyandistestedagainstNode>=10.0.0.---OSXToinstallGCC>=5onOSX,usehomebrew:$brewinstallgccOnceyou'vegotGCCinstalledandreadytorun,youthenneedtoinstallnode-gyp,youmustdothisglobally:$npminstall-gnode-gypFinally,oncenode-gypisinstalledandreadytogo,youcaninstallthislibrary,specifyingtheGCCorClangbinarytouse:$CXX=g++-6npminstallargon2NOTE:IfyourGCCorClangbinaryisnamedsomethingdifferentthang++-6,you'llneedtospecifythatinthecommand.2、安装npmiargon23、使用（3）参数1、type：argon2d 更快且对GPU攻击具有高度反抗力，这对于加密钱币很有用argon2i 速度较慢且可以抵御权衡攻击，因此首选用于密码哈希和密钥派生argon2id 是上述内容的混淆组合，可以反抗GPU和权衡攻击因为我们是用于密码的 hash，用默认的 argon2i 即可。2、（慢）哈希相关参数① memoryCost 内存开销，它界说了内存的使用情况好的起点是 0.75 *（RAM / number_of_users) 起步。② parallelism 并行水平，它界说了线程的数量最佳起点是内核数。

③ timeCost 时间开销，它界说了执行的时间建议在系统上运行它，并确定与内存和处置惩罚器使用时间限制相匹配的最大参数。如前所述，本质是在宁静性和可用性之间取得平衡。3、其他参数salt：默认值是未设置，将生成加密宁静的随机盐。saltLength：默认16。

version：您不应更改此设置，因为最新版本更强大。5、密码哈希是如何解决普通哈希容易被破解的问题上面先容了 二、应对普通哈希容易被破解的计谋 ，我们可以看看密码哈希是如何运用并切合这些计谋的。（1）针对 salt密码哈希使用 CSPRNG（Cryptographically Secure Pseudo-Random Number Generator）密码学宁静伪随机数生成器生成盐。

CSPRNG 是加密宁静（Cryptographically Secure）的，（加密宁静的意思即）意味着用它发生的随机数越发随机，且不行预测。普通的盘算机随机数算法并不是很随机。注：盐值自己就在存在于哈希后的字符串中（其实还可能包罗版本、慢哈希迭代次数等），当挪用跟明文比对的方法时，模块内部会提取出盐值举行验证。（2）针对 慢哈希Bcryoy 的宁静因子和 Argon2的 timeCost 参数，都是针对慢哈希的设置。

6、结论我司使用的 Bcrypt 其实在今年（2020年），已经不宁静了，推荐至少使用 Scrypt，有条件上 Argon2。四、常见问题问1：我用我自己实现哈希算法，不用公然现成的，越离奇越好，坏人不就猜不到了吗？答：不建议。首先先容下密码学上的柯克霍夫原则（Kerckhoffs's principle，也称为柯克霍夫假说、正义、或定律），由奥古斯特·柯克霍夫在 19 世纪提出：纵然密码系统的任何细节已为人悉知，只要密匙（key，又称密钥或秘钥）未泄漏，它也应是宁静的。

信息论的发现者克劳德·香农则改成说：“敌人相识系统”，这样的说规则称为香农箴言。基于这个原则：你自己实现的再离奇，究竟你不是密码专家，很难确保不被坏人破解（可能自己实现后看似庞大，实际更容易破解了）。

如果自己包罗哈希算法的代码泄露，它很懦弱，难保不会被坏人破解。问2：既然现在都是 https，前端传给后端的明文密码，就懒得加哈希了，可以吗？还是建议前端也举行哈希（虽然前端的哈希算法容易袒露）。不要遗漏任何一个环节。

五、实操Dropbox 公司曾公然分享过自己对用户账号的密码加密的计谋，使用了三层加密：1、password即明文密码。2、SHA512在 bcrypt 前做 SHA512，是因为有些 bcrypt 实现会把散列值长度停止 72 字节，从而降低了密码的熵值，而有的则允许变长密码，这样容易受到 DoS 攻击。

使用 SHA512 散列可以获得牢固长度的 512 字节散列值，制止了上述的两个问题。”而有的则允许变长密码，这样容易受到 DoS 攻击“，这句话我不是很明白，待写。3、bcrypt上面说过，不赘述了。

4、AES256AES256 会用到密钥，俗称胡椒粉（pepper）。密钥需要被单独存储，最好存储在外部系统：如物理上隔离的服务端、甚至特殊的硬件设备（如 YubiHSM）。

这里的 AES256 也可以用 HMAC 取代。不外前者宁静性更好些。

本文来源：beat365在线登录-www.52zfc.com