php - 多次哈希传​​递会使存储密码更安全吗？

Question

我是 PHP 编程和 PHP 安全问题的新手。多次散列密码是否安全？互联网上的其他人说它会带来冲突或者根本不安全，所以我的问题是如果这样实现哈希方法是否安全。 我尝试了多种方法和组合，但结果并不相同，但这真的能让密码更安全吗？

$input_pass = 'example';
$step1 = md5($input_pass);
$final_pass = hash('sha512',crypt(pi(),hash('sha512',$input_pass)));

Answer 1

因此，为了具体说明为什么这是一个壮观坏想法(轻描淡写)，让我们检查一下您的代码:

$input_pass = 'example';

$step1 = md5($input_pass);

好的，所以你生成一个MD5，然后完全忽略它......

$t1 = hash('sha512',$input_pass);

现在您使用 SHA512 对密码进行哈希处理

$t2 = crypt(pi(),$t1);

然后在 pi() 的输出上运行 crypt(作为密码字段的输入)，将 SHA512 散列作为“盐”(更多稍后)

$final_pass = hash('sha512',$t2);

然后对整个结果进行第二次哈希...

现在，要了解为什么这会如此糟糕，让我们看看每个步骤的输出:

$t1 = string(128) "3bb12eda3c298db5de25597f54d924f2e17e78a26ad8953ed8218ee682f0bbbe9021e2f3009d152c911bf1f25ec683a902714166767afbd8e5bd0fb0124ecb8a" 
$t2 = string(13) "3b5PQJpjs2VBk" 
$final_pass = string(128) "ec993177685eb6f2aa687d1202f47f7c5c0e17954fe1409115ed8b2170839029a065a189a3d2af6fe8d05869f7a6980743c199d7eb9d00c7e036af790231549a"

嗯，等一下，我想知道一件事。让我们尝试将密码更改为其他内容。说foobar:

$t1 = string(128) "0a50261ebd1a390fed2bf326f2673c145582a6342d523204973d0219337f81616a8069b012587cf5635f6925f1b56c360230c19b273500ee013e030601bf2425"
$t2 = string(13) "0aTQxuCXvbnbY"
$final_pass = string(128) "6cd37aeccd93e17667563fadfae96d50427b5187cffb1c2865ee4bcce76d6c767f2b9b6c542988fd5559efb499d988b204e49b8ed60428db45e2ccb3945f33f2"

嗯，很有趣。 $t2 的前 2 个字符与 $t1 的前 2 个字符匹配...我想知道我们是否可以使用它来利用此代码。让我们构建一个小的暴力破解器来查找与 SHA512 的前 2 个字符冲突的随 secret 码:

$target = '3b';

$runs = 0;

do {
    $runs++;
    $pass = genRandomPass();
    if ('3b' == substr(hash('sha512', $pass), 0, 2)) {
        echo "Found match: $pass\n In $runs Runs\n";
        die();
    }
} while (true);

function genRandomPass() {
    $length = mt_rand(8, 12);
    $chars = "abcdefghijklmnopqrstuvwxyzABCDEFGHIJKLMNOPQRSTUVWXYZ0123456789";
    $charLen = strlen($chars);
    $result = '';
    for ($i = 0; $i < $length; $i++) {
        $result .= $chars[mt_rand(0, $charLen - 1)];
    }
    return $result;
}

并运行它:

~$ time php test.php 
Found match: olhUhIWp5Xd
 In 49 Runs

real    0m0.013s
user    0m0.004s
sys     0m0.012s

哇哦! 0.013秒，随机碰撞!!!让我们试试看:

$t1 = string(128) "3ba21ea28adb4543755bf62133eb0337569170c90ae4f3eaca9b777bf88f3a2eb9f9d0e40e4ff9e8844814ac7944ccf61e2222c184ebbf91e43fcdc227c80416"
$t2 = string(13) "3b5PQJpjs2VBk"
$final_pass = string(128) "ec993177685eb6f2aa687d1202f47f7c5c0e17954fe1409115ed8b2170839029a065a189a3d2af6fe8d05869f7a6980743c199d7eb9d00c7e036af790231549a"

是的!在 0.013 秒的 CPU 时间里，我刚刚发现了该哈希方法的冲突。

为什么

您的哈希值将受到最窄组件的限制。使用 CRYPT_DES 时，您错误地将密码输入了 crypt() 的 salt 组件(非常薄弱)。

这意味着密码的所有熵都被放入了 2 个字符中。 2 个字符，每个字符有 64 种组合。因此，您的最终哈希的总可能熵是 4096 种可能性，或 12 位。

将其与提供 576 位熵的 bcrypt 进行比较，您就会明白为什么它不好...

结论

正如我 said before 所说:面对现实，密码学很难，不要试图自己发明一些东西，而是使用库。有很多可用的。

只是绝对没有正当理由自己发明它...

检查 This Answer 以了解可用的不同库(当前推荐)的分割。