Ruby BCrypt 加盐/散列似乎……错了？

Question

我一直在 ruby​​ 应用程序中创建加盐密码，我认为这是标准方式:

password_salt = BCrypt::Engine.generate_salt
password_hash = BCrypt::Engine.hash_secret(params[:pword], password_salt)

但是在检查测试用例时，看起来盐只是被添加到哈希密码之前:

现在，据我了解盐点，它应该在散列之前连接到密码上，以将密码推出任何预先计算的查找表、彩虹表等的大小范围。曾经包括。关键是，如果有人获得了您的用户数据库，他们仍然无法使用查找表破解密码。如果在散列之后将盐添加到密码上，并且黑客已经下载了用户表，则它不会采取任何措施来保护密码。黑客只需剪下前面的盐，取回原始散列，然后在散列上运行彩虹表，就好像它们从未加盐一样。

这是否像看起来那样严重？我的代码有问题吗？还是出于我需要阅读的原因，这是否按预期工作且安全？ (请链接。)

Answer 1

1) 盐是验证所必需的，因此必须与散列密文一起存储。无论是数据库中的两个字段还是一个混在一起的字符串，都无关紧要。

2) 一种盐 = 一张彩虹 table 。当然，攻击者可以为您的盐生成一个新的彩虹表；但是，由于构建彩虹表的时间基本上等同于尝试彩虹表要覆盖的所有密码的时间，所以只要您不重复使用盐，它就不是弱点。

---

彩虹表的用例是它允许您计算它一次，然后快速测试多个密码。彩虹表通常涵盖一定长度的所有密码，或者至少有一些限制(例如，使用特定的字母表，或使用特定的词汇表)。假设您有一张彩虹表，其中包含最多 8 个字符的所有密码。因此，如果有人有密码“password”，彩虹表就会知道它的散列形式是什么(例如“WASSPORD”——使用大写字母表示密文，使用小写字母表示明文以提高示例的可读性)，您可以在彩虹表，很快就看到密码是“password”。

但是，假设您有盐“花生”。密码变成“peanutspassword”，如果你随后加密它，假设你得到“WASSUPMYCRACKER”。 Ruby 会打印“peanutsWASSUPMYCRACKER”作为加盐哈希。在验证时，您将“peanutsWASSUPMYCRACKER”分成“peanuts”(盐)和“WASSUPMYCRACKER”(散列)；将“peanuts”追加到用户输入的“password”后形成“peanutspassword”，并再次加密——你得到“WASSUPMYCRACKER”，这是一个匹配项，用户登录。但是，请注意“peanutspassword”更长超过8个字符，不会出现在最多8个字符的彩虹表中。

现在，您可以生成一个“peanuts”彩虹表，方法是使用与原始彩虹表相同的字典，在“peanuts”前面添加并对其进行加密，但它通常需要比暴力破解密码更长的时间(“peanuts"+"a"? "peanuts"+"aardvark"?...) 因为，至少在你进行暴力破解时，你会在找到正确的密码时停止。

但是，如果您知道某个应用程序总是使用“花生”作为它的盐，您可以制作一个“花生”彩虹表，该应用程序就完蛋了，它的所有者陷入了真正的困境。

tl;dr: Salt 可以公开；它只是不能重复使用。

---

编辑:您的印象似乎是 Ruby 只是将盐粘贴到未加盐明文的散列上。如果它这样做了，那么人们会期望对于相同的明文，结果的后端(密文)将是相同的，无论盐是多少。很容易看出它不是这样工作的:

3.times { puts BCrypt::Engine.hash_secret("password", BCrypt::Engine.generate_salt) }
# $2a$10$jxUToaac5UUzVRH9SnllKe52W1JMLu5tm0LwyrZ4x4e75O1FCn9Ea
# $2a$10$oBs3TyhgR/r12.cz2kdzh.O9WHVZifDPqTEg0.hGOMn7Befv.8hSy
# $2a$10$8rfQA5nzCZ74DwNrmhAhdOmoQOVhJnBfh0ikiOB0W7ZptwsLPGUwi

随着盐的变化，密文也会发生变化。因此，您不能“只是从前面剪掉盐，取回原始散列，然后在散列上运行彩虹表，就好像它们从未加盐一样。”