- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
我正在寻找 Python 应用程序中散列密码的不同替代方案。首先,我决定使用 Flask-bcrypt (https://github.com/maxcountryman/flask-bcrypt),但后来决定使用 Argon2。 Python 最流行的 Argon2 绑定(bind)是 argon2-cffi (https://github.com/hynek/argon2-cffi)。
根据它的文档( https://argon2-cffi.readthedocs.io/en/stable/api.html ),我需要做的就是使用 3 种方法:
hash
散列密码 verify
将密码与哈希值进行比较 check_needs_rehash
查看更改散列参数后是否应重新散列密码 os.urandom
.因此我想知道
verify
方法能够以某种方式从哈希中提取盐吗?或者换句话说,既然我对盐是什么没有发言权并且无法保存它,那么
verify
方法实际上是否曾经将任何密码与使用随机盐散列的密码进行比较?我应该以某种方式从
hash
的返回值中解析盐吗?我自己,并将其与散列值分开存储?还是散列应该按原样存储在文档中,原封不动,并且 Argon2 能够以某种方式验证密码?如果 Argon2 确实可以从哈希中提取盐,那么在这种情况下使用盐如何更安全,因为获得哈希密码的敌对实体也应该能够提取盐?
hash
提供任何 secret 方法,而密码本身似乎被用作 secret 。这安全吗?我不提供散列方法的 secret 有什么缺点?
最佳答案
1) The salt is random, using
os.urandom
. I thus wonder if theverify
method is somehow able to extract the salt from the hash?
hash
方法返回一个对盐、参数和密码哈希本身进行编码的字符串,如文档中所示:
>>> from argon2 import PasswordHasher
>>> ph = PasswordHasher()
>>> hash = ph.hash("s3kr3tp4ssw0rd")
>>> hash
'$argon2id$v=19$m=102400,t=2,p=8$tSm+JOWigOgPZx/g44K5fQ$WDyus6py50bVFIPkjA28lQ'
>>> ph.verify(hash, "s3kr3tp4ssw0rd")
True
$argon2id$...
...$v=19$...
...$m=102400,t=2,p=8$...
...$tSm+JOWigOgPZx/g44K5fQ$...
tSm+JOWigOgPZx/g44K5fQ
(base64),或 b5 29 be 24 e5 a2 80 e8 0f 67 1f e0 e3 82 b9 7d
(十六进制)。 ...$WDyus6py50bVFIPkjA28lQ
WDyus6py50bVFIPkjA28lQ
(base64),或 58 3c ae b3 aa 72 e7 46 d5 14 83 e4 8c 0d bc 95
(十六进制)。 verify
方法获取此字符串和候选密码,使用所有编码参数重新计算密码哈希,并将其与编码密码哈希进行比较。
And if indeed Argon2 can extract the salt out of the hash, how is using a salt any safer in that case since a hostile entity who gets a hashed password should then also be able to extract the salt?
2) By default I do not supply any secret to the
hash
method and instead the password itself seems to be used as a secret. Is this secure? What are the downsides for me not supplying a secret to the hashing method?
关于python - Argon2 库,可以在没有 secret 的情况下对密码进行哈希处理,并且使用看起来不可解析的随机盐,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/58431973/
我是 Java 新手,这是我的代码, if( a.name == b.name && a.displayname == b.displayname && a.linknam
在下面的场景中,我有一个 bool 值。根据结果,我调用完全相同的函数,唯一的区别是参数的数量。 var myBoolean = ... if (myBoolean) { retrieve
我是一名研究 C++ 的 C 开发人员: 我是否正确理解如果我抛出异常然后堆栈将展开直到找到第一个异常处理程序?是否可以在不展开的情况下在任何 throw 上打开调试器(即不离开声明它的范围或任何更高
在修复庞大代码库中的错误时,我观察到一个奇怪的情况,其中引用的动态类型从原始 Derived 类型更改为 Base 类型!我提供了最少的代码来解释问题: struct Base { // some
我正在尝试用 C# 扩展给定的代码,但由于缺乏编程经验,我有点陷入困境。 使用 Visual Studio 社区,我尝试通过控制台读出 CPU 核心温度。该代码使用开关/外壳来查找传感器的特定名称(即
这可能是一个哲学问题。 假设您正在向页面发出 AJAX 请求(这是使用 Prototype): new Ajax.Request('target.asp', { method:"post", pa
我有以下 HTML 代码,我无法在所有浏览器中正常工作: 我试图在移动到
我对 Swift 很陌生。我如何从 addPin 函数中检索注释并能够在我的 addLocation 操作 (buttonPressed) 中使用它。我正在尝试使用压力触摸在 map 上添加图钉,在两
我设置了一个详细 View ,我是否有几个 Nib 文件根据在 Root View Controller 的表中选择的项目来加载。 我发现,对于 Nibs 的类,永远不会调用 viewDidUnloa
我需要动态访问 json 文件并使用以下代码。在本例中,“bpicsel”和“temp”是变量。最终结果类似于“data[0].extit1” var title="data["+bpicsel+"]
我需要使用第三方 WCF 服务。我已经在我的证书存储中配置了所需的证书,但是在调用 WCF 服务时出现以下异常。 向 https://XXXX.com/AHSharedServices/Custome
在几个 SO 答案(1、2)中,建议如果存在冲突则不应触发 INSERT 触发器,ON CONFLICT DO NOTHING 在触发语句中。也许我理解错了,但在我的实验中似乎并非如此。 这是我的 S
如果进行修改,则会给出org.hibernate.NonUniqueObjectException。在我的 BidderBO 类(class)中 @Override @Transactional(pr
我使用 indexOf() 方法来精细地查找数组中的对象。 直到此刻我查了一些资料,发现代码应该无法正常工作。 我在reducer中尝试了上面的代码,它成功了 let tmp = state.find
假设我有以下表格: CREATE TABLE Game ( GameID INT UNSIGNED NOT NULL, GameType TINYINT UNSIGNED NOT NU
代码: Alamofire.request(URL(string: imageUrl)!).downloadProgress(closure: { (progress) in
我是一名优秀的程序员,十分优秀!