phpass 安全密码存储的最佳解决方案？

Question

我正在创建一项处理大量个人数据的服务，因此让密码直接泄露是不合适的。我一直在四处寻找任何可能的解决方案，引起我注意的一个是 phpass .我确实在 StackOverflow 上通过 here 读到了它.

我知道有很多关于这个主题的问题，但我想澄清一下，phpass 是一种存储密码的安全方式。我怀疑的原因是它不使用任何盐(至少似乎不使用)，据我所知，这是安全存储的关键。

我当前的方法只是一个 sha512 散列，其中包含一个用户特定的盐和另一个站点特定的散列。这是我的 PHP 代码的片段:

hash_hmac('sha512', $password.$account_specific, $site_specific);

很高兴听到一些关于这个问题的专家意见。我很抱歉为这个已经并将永远被问到的主题创建另一个线程。提前致谢。

编辑:
我还听说对密码进行哈希处理，比方说，1000 次也是存储密码的好方法。这种散列方式只需要几秒钟(最多)，但破解散列密码确实需要很长时间？

Answer 1

在处理网络安全主题时，没有“真正”安全的做事方式。 Web 安全本质上是一场猫捉老鼠的游戏。日常用户是老鼠，黑客是猫。 Web 安全主要是 react 性的，这意味着只有在发生安全漏洞时才会考虑新的安全实现。因此，黑客通常比安全实现先行一步。

话虽这么说，但您可以采取多种措施来提高网站的安全性:

1) 使用盐值。

我知道您已经在这样做了，这是很好的做法。说使用盐使您的应用程序安全是错误的，事实并非如此。是的，这使得破解变得更加困难，但是如果您将盐值存储在数据库中并且最终将整个数据库注入(inject)/转储，那么黑客将拥有他们使用彩虹表所需的所有信息。使用特定于应用程序的盐是一种额外的安全措施，但同样，如果您的应用程序遭到黑客攻击并且源代码被获取/反编译，那么黑客便拥有了他们需要的一切。

2)使用SSL证书

确保数据在进入/来自您的应用程序所在的服务器时被加密是防止数据包嗅探和 session 侧劫持的好方法。

3) 使用 SHA2 哈希

SHA2 哈希值得到广泛实现，并且比其前身 SHA1 安全许多倍。

4) 让您的数据库和应用程序驻留在不同的服务器上。

如果您的数据库位于单独的服务器上(或至少在具有单独 IP 的某个地方)，那么您可以将对数据库的访问限制为给定的调用 IP 地址/端口。这样做，您可以确保可以对数据库进行的唯一调用来自您的应用程序。

5) 使用存储过程而不是动态创建查询。

如果您的应用程序中包含逐行构造 SQL 查询的代码，那么攻击者可以使用此信息来映射您的数据库的结构，然后有效地注入(inject)它。如果您使用存储过程，那么此逻辑将从源代码的角度抽象出来，攻击者无法通过查看它们来深入了解您的数据库结构。

6) 检查所有可能的注入(inject)点

尝试破解您自己的应用程序。你最了解它，所以你应该知道它最薄弱的地方。虽然开发人员可能会做出一些最糟糕的 QA，但弄清楚你是否留下了一个可注入(inject)的孔应该是可能的。您是否在任何地方使用用户输入来格式化查询？如果是这样，请弄乱输入，看看你能做什么。

根据我的经验，如果您执行以上所有操作，那么您将得到很好的保护。没有什么是 100% 安全的，但除非您持有数十亿美元的免费现金赠送方式的密码，否则这些障碍将阻止绝大多数黑客(如果不是全部的话)。在少数大公司的网站上工作过后，其中一些网站缺乏安全性是荒谬的(咳咳 *咳咳* SONY 咳咳 *咳咳*)。

请记住，很多用户喜欢在不同的平台上使用相同的密码。如果用户 A 对所有内容都使用相同的密码并注册了您的网站(安全网站)，然后又注册了另一个网站(不安全且不散列密码的网站)，那么攻击者只需找到其中最薄弱的链接用户的浏览习惯，并从中获取明文密码。

最好的问候，