Comment peut-bcrypt ont intégré dans les sels?

Coda Hale de l'article "Comment Stocker en toute sécurité d'un Mot de passe" affirme que:

bcrypt a sels intégré pour éviter que l'arc-en-ciel de la table des attaques.

Il cite ce document, qui dit que dans OpenBSD de la mise en œuvre de bcrypt:

OpenBSD génère 128 bits bcrypt de sel à partir d'un arcfour
(arc4random(3)) flux clé, ensemencés avec des données aléatoires du noyau
collecte à partir d'un périphérique de timing.

Je ne comprends pas comment cela peut fonctionner. Dans ma conception de sel:

  • Il doit être différent pour chaque mot de passe enregistré, ainsi qu'un arc-en-ciel de la table devrait être généré pour chaque
  • Il doit être stocké quelque part alors que c'est répétitif: lorsqu'un utilisateur essaie de se connecter, nous prenons leur tentative de mot de passe, répétez la même sel et le hachage de procédure nous avons fait lorsque nous avons été stocké à l'origine de leur mot de passe, et de les comparer

Quand je suis à l'aide de Concevoir (Rails gestionnaire de connexion) avec bcrypt, il n'y a pas de sel de la colonne dans la base de données, donc je suis confus. Si le sel est aléatoire et ne sont pas stockées n'importe où, comment peut-on de manière fiable répétez le processus de hachage?

En bref, comment peut-bcrypt ont intégré dans les sels?

InformationsquelleAutor Nathan Long | 2011-07-26
  1. 733

    C'est bcrypt:

    La génération aléatoire de sel. Un "coût" facteur a été pré-configuré. Recueillir un mot de passe.

    Dériver une clé de chiffrement du mot de passe en utilisant le sel et le facteur de coût. L'utiliser pour crypter une chaîne connue. Magasin le coût, sel, et le texte chiffré. Parce que ces trois éléments ont une longueur connue, il est facile de les enchaîner et de les stocker dans un seul champ, mais être en mesure de séparer les distingue plus tard.

    Quand quelqu'un essaie de s'authentifier, de récupérer la stockées coût et le sel. Dériver une clé de mot de passe d'entrée, le coût et le sel. Chiffrer le même bien connu de la chaîne. Si l'généré le texte chiffré correspond à la stockées texte chiffré, le mot de passe est un match.

    Bcrypt fonctionne de manière très similaire à plus traditionnels schémas basés sur des algorithmes comme PBKDF2. La principale différence est l'utilisation d'un dérivé de la clé pour chiffrer connu en texte brut; d'autres régimes (raisonnablement) assumer la fonction de dérivation de clé est irréversible, et de stocker la clé dérivée directement.

    Stockées dans la base de données, un bcrypt "hash" pourrait ressembler à quelque chose comme ceci:

    $2a$10$vI8aWBnW3fID.ZQ4/zo1G.q1lRps.9cGLcZEiGDMVr5yUP1KUOYTa

    C'est en fait trois champs délimités par des "$":

    • 2a identifie le bcrypt algorithme version qui a été utilisé.
    • 10 est le facteur de coût; 210 d'itérations de la fonction de dérivation de clé sont utilisés (ce qui n'est pas assez, par la manière. Je recommanderais un coût de 12 ou plus).
    • vI8aWBnW3fID.ZQ4/zo1G.q1lRps.9cGLcZEiGDMVr5yUP1KUOYTa est le sel et le texte chiffré, concaténés et encodé dans une modification de la Base-64. Les 22 premiers caractères de décodage de 16 octets de la valeur pour le sel. Les autres personnages sont de chiffrement de texte pour être comparé à des fins d'authentification.

    Cet exemple est tiré de la documentation pour Coda Hale ruby mise en œuvre.

    • Auriez-vous plus de détails pourquoi le facteur coût de 10 ne serait pas suffisant? Dans Graal, j'ai remarqué que 10 est la valeur par défaut du facteur de coût/journal des tours de bcrypt de sorte qu'il pourrait être intéressant de mettre à jour compte tenu de votre suggestion.
    • un coût de 16 prend près de 10 secondes sur ma machine .. je ne peux pas avoir que chaque fois que quelqu'un vous connecter. Est mon matériel vraiment juste que merde?
    • quelle langue et de la bibliothèque que vous utilisez? Si un interprète est l'exécution de la plupart de l'algorithme, il peut apparaître beaucoup plus lent.
    • avec crypt (CRYPT_BLOWFISH). Je suis vissé?
    • Je crains que je ne connais pas trop le PHP. Ce que je comprends, la plupart des PHP déploiements aujourd'hui, l'utilisation de pré-compilé en byte-code, ce qui devrait être assez rapide. Savez-vous si ce crypt() fonction est mise en œuvre par plus de code PHP, ou il est effectivement mis en œuvre par une bibliothèque compilé (écrit en C ou C++ et compilé pour l'hôte de l'architecture)? Si ce dernier, il semble que ça devrait être rapide.
    • J'ai fait une analyse comparative, et la bcrypt clé algorithme de génération de est très lent, beaucoup plus lent que la PBKDF2 avec l'algorithme SHA-1 HMAC j'avais supposé était comparable lorsque j'ai recommandé un facteur de coût. bcrypt avec un facteur de coût de 16 prend environ 5,6 secondes sur ma machine. En ce moment, je peux faire presque 4 millions de PBKDF2 itérations. Ainsi, le facteur de coût pour la bcrypt pourrait être en toute sécurité abaissé, peut-être à 12. Cela devrait prendre moins de 1 seconde, même sur votre hôte.
    • Le facteur de coût pour la bcrypt est exponentielle, ou plutôt, un facteur de coût de 10 moyens 2^10 tours (1024), un facteur de coût de 16 voudrait dire 2^16 tours (65536). Il est naturel alors qu'il allait prendre de 5 à 10 secondes. Il devrait prendre environ 64 fois plus longtemps qu'un facteur de coût de 10 ne. Pour effacer d'autres désinformation, PHP de la fonction crypt () utilise l'unix de la bibliothèque qui est implémenté en c.
    • Merci de répondre à ma question à propos de PHP crypt() mise en œuvre. Je ne suis pas au courant de tout "désinformation" si. Pouvez-vous préciser?
    • Désolé, tout se référant à votre spéculation qui crypte peut être mise en œuvre que le PHP et exécuté en tant que pseudo-code binaire, ce qui n'est pas (qu'il appelle une bibliothèque C). Je me rends compte que vous n'étiez pas en déclarant que comme un fait, mais parce que vous n'étiez pas sûr. Juste le dissiper.
    • Le mode de fonctionnement de sens, mais si j'ai accès à la base de données et permet de générer un mot de passe pour moi (à Concevoir), il semble que je peux maintenant le copier dans un autre utilisateur, mot de passe crypté entrée de champ et je "sais" leur mot de passe. Ce qui me manque?
    • En effet, si vous pouvez définir le mot de passe du compte, vous serez en mesure de s'authentifier. Hachage de mot de passe n'est pas destiné à empêcher cette attaque. Il est destiné à empêcher un attaquant avec un accès en lecture seule pour le mot de passe de la table de s'authentifier. Par exemple, vous obtenez une bande de sauvegarde avec la table sur elle.
    • merci @erickson. Je suppose que la théorie pour moi (si je comprends bien) si quelqu'un fait irruption dans assez loin pour avoir accès au mot de passe de la base de données elle-même et peut écrire à la base de données, ET ils peuvent établir leur propre mot de passe d'un compte (leur propre), alors ils peuvent avoir accès à un elses compte par la copie de leur mot de passe crypté à ce compte et de vous connecter. Au moins jusqu'à ce que l'autre partie se rend compte qu'ils ne peuvent plus se connecter et les réinitialisations de mot de passe. Il semble y compris la clé primaire (c'est à dire nom d'utilisateur ou e-mail) dans le sel incorporé processus permettrait de remédier à la.
    • Je suppose que l'attaquant peut calculer les hachages avec le même connu entrées. Sinon, je suis plutôt sur la "sécurité par l'obscurité" plutôt que de la cryptographie forte. Pour déjouer les plans d'un attaquant qui peut écrire à la table, j'avais besoin d'être en mesure de cacher un secret maître qui pourrait être utilisé pour authentifier l'information dans le tableau. Par exemple, calculer une signature numérique ou MAC sur la table ou sur ses entrées. Et de garder le secret maître caché de ces un attaquant serait difficile.
    • Si je vous comprends bien, @erickson, puis il faudrait un "inconnu" d'entrée pour empêcher l'accès. Ou au moins un inconnu de la vérification de résultats (comme une signature numérique), pour détecter au moins l'intrusion.
    • C'est le droit. Mais la plupart des systèmes d'authentification par mot de passe n'intègre pas de cela, parce que si un attaquant a un accès en écriture, vous avez déjà perdu.
    • Question avec référence à la présente déclaration, "La principale différence dans l'utilisation d'un dérivé de la clé pour chiffrer connu en texte brut; d'autres régimes (raisonnablement) assumer la fonction de dérivation de clé est irréversible, et de stocker la clé dérivée directement." Ainsi en est-il exact de dire que la rupture de bcrypt dépendra en quelque sorte la rupture par le biais de deux algorithmes, à la fois la KDF et la le chiffre, alors que quelque chose comme PBKDF2 ne requiert que la KDF d'être cassé? Et, par conséquent, bcrypt est sans doute plus sûr de lui dans ce sens?
    • Oui, bcrypt ne peut être "cassée" (dans le sens qu'il y a un raccourci pour récupérer un mot de passe) si le chiffrement et la fonction de dérivation de clé sont chaque cassé.
    • N'est-ce pas stocker le sel avec le chiper mauvais de sécurité? Si quelqu'un a la main sur la table de hachage, avec suffisamment de calcul, il peut être craqué. S'il ne connaît pas le sel, il est pratiquement impossible.
    • Non, pas vraiment. Si vous pouvez garder un secret, vous ne pouvez pas utiliser cette approche, vous devriez juste stocker le mot de passe. Authentification par mot de passe régimes sont fondés sur l'hypothèse que l'attaquant a découvert tout ce que vous savez. Le sel est-il pour exiger de chaque mot de passe pour être attaqué de façon individuelle. L'effort de calcul nécessaire pour le test des mots de passe est régie par les itérations. Si les utilisateurs de choisir de bons mots de passe, ils seront en sécurité, même lorsque le sel est révélé. Cacher le sel peut aider quelqu'un avec un mauvais mot de passe, dans certains cas, mais je préfère travailler sur la qualité des mots de passe en premier.
    • Je ne comprends toujours pas. Ce qui est "bien connu de la chaîne" ici?
    • C'est une chaîne définie dans la bcrypt spécifications: "OrpheanBeholderScryDoubt"
    • Ah! Il prend tout son sens maintenant. Aussi cela l'a aidé à - crypto.stackexchange.com/a/41958

    InformationsquelleAutor erickson
  2. 171

    Je crois que la phrase doit avoir été rédigé comme suit:

    bcrypt a sels construit dans le générés hachages pour prévenir l'arc-en-ciel de la table des attaques.

    La bcrypt utilitaire lui-même ne semble pas à jour une liste de sels. Plutôt, les sels sont générées aléatoirement et ajoutés à la sortie de la fonction, de sorte qu'ils sont de rappeler plus tard (selon la Java de la mise en œuvre de bcrypt). Mettre une autre manière, le "hash" généré par bcrypt n'est pas juste le hachage. C'est plutôt le hachage et le sel concaténées.

    • Connexes: stackoverflow.com/questions/5881169/...
    • OK, donc je m'inscris à un site et de choisir un mot de passe "toto". Bcrypt ajoute un hasard sel de "akd2!*", résultant dans "fooakd2!*", qui est haché et stockées. Plus tard, j'ai essayer de vous connecter avec le mot de passe "bar". Pour voir si je suis correct, il a besoin de hachage "barakd2!*". Si le sel a été généré de façon aléatoire pour commencer, comment sait-il comment faire pour ajouter la "barre" avant le hachage et la comparaison?
    • sait comment faire pour extraire le sel de retour de la sortie générée (qui est stocké dans la base de données). Quand vient le temps de s'authentifier, bcrypt sépare la sortie originale dans son hachage et le sel composants. Le sel composant est appliqué à l'entrée mot de passe saisi par l'utilisateur.
    • Pour répondre à Nathan Long commentaire, une bonne façon de penser de cela est que les sels ne sont pas censé être secret. C'est pourquoi le sel est inclus dans la sortie de la bcrypt fonction comme l'une des réponses que l'a souligné ci-dessus. Le sel est là pour l'empêcher de "rainbow tables", qui sont des listes de mots de passe communs, ou tout simplement de la force brute, etc... des mots de passe différents, mais haché. Sans le sel, le hash d'un mot de passe de la base de données serait la même que celle d'un hachage d'un mot de passe dans la base de données B. Sel contente de changer les valeurs de hachage qui rend plus difficile pour quelqu'un qui a volé la base de données à déchiffrer (unhash) les mots de passe.
    • mais un attaquant peut juste supprimer le sels dans tous les mots de passe et ensuite de créer une table avec eux?
    • Je suis en attente de réponse sur @Oscar commentaire. Aussi je ne l'ai toujours pas obtenir de la déclaration finale. Ainsi, bien que correspondant à l'entrée mot de passe, il suffit d'appeler la même fonction (utilisés lors du chiffrement) et il va générer le même hachage de mot de passe à nouveau? Est-ce correct déclaration ou ai-je raté quelque chose?
    • voir Joseph commentaire: le mot de passe est toujours stockée avec le sel et appliquée, le sel est une valeur aléatoire pour chaque utilisateur. Cela signifie qu'un attaquant ne peut pas utiliser un pré-existante de la Table arc-en-ciel. Il/Elle aurait de la force brutale chaque mot séparément.
    • Mais dire qu'un utilisateur est un président, et de son sel est connu, un arc-en-ciel de la table peut être généré pour que le sel spécifiquement, à droite? Il serait très long bien sûr, mais un secret-ish sel sonne mieux pour moi dans ce cas.
    • Vous n'avez pas besoin de construire un arc-en-ciel de la table à casser un mot de passe. Si vous souhaitez stocker un sel quelque part d'autre que dans votre base de données, aller de l'avant et ajouter votre propre deuxième de sel. Stocker à l'intérieur de la même base de données que les mots de passe est inutile, mais.
    • si quelqu'un a volé la base de données, alors ils pourraient regarder dans les hachages et d'utiliser la bonne sels de leur arc-en-ciel d'attaque? Ou ai-je raté quelque chose?
    • Ah tant pis. Ils point est: un arc-en-ciel tableau est une liste de mots de passe cryptés (sans sel), c'est donc un précalculées liste des hachages. Par à l'aide de sels, ces tableaux sont sans valeur. Cependant, avec suffisamment de puissance de calcul, et quand ils ont votre base de données, ils peuvent encore générer de chiffrement des valeurs basées sur des mots de passe plus les sels qui sont maintenant connus. C'est donc beaucoup plus d'efforts à craquer, si il vous achète quelque temps pour atténuer le problème et d'informer les utilisateurs concernés.
    • C'est la façon dont je le comprends: L'idée est que chaque mot de passe un unique de sel. Le sel est incorporé dans le hachage de mot de passe si un hacker aurait pour créer un arc-en-ciel de la table pour chaque mot de passe. Ce serait une énorme quantité de temps pour un modéré de la base de données. Il est tout au sujet du ralentissement de l'attaquant vers le bas et faire de brute-forcer inutile.
    • Ce qui empêche les pirates de retirer le sel de la table de hachage, et il suffit de comparer sa non salé de hachage avec elle?
    • La façon dont je le comprends, ce n'est pas possible parce que le hash n'est pas une concaténation de la valeur de hachage et le sel. Le sel lui-même est haché (c'est à dire l'enchaînement des processus d'ajout de sel pour le mot de passe qui se passe avant le hachage). Pour le dire d'une autre façon, même si le sel est "sel", les chances sont proches de zéro que la chaîne " sel " sera présent dans la table de hachage de l'salé mot de passe (et si elle l'est, c'est aléatoire, pas le sel).
    • Si vous exécutez cette application.il lien vous pouvez voir que bcrypt fait juste ajoute l'généré le sel directement à la table de hachage. Vous pouvez voir que le départ des deux chaînes de hachage avec le même sel (nom d'utilisateur et mot de passe) sont exactement les mêmes pour les deux lorsque vous générez un sel. Si c'était mélangé avec le hachage de la sortie devrait être différente lorsque la valeur de hachage est. Mais ce n'est pas, seulement la fin de la chaîne contenant la valeur de hachage est :s
    • Vous avez raison - C'était il y a un moment maintenant (j'ai lu un peu juste sur depuis) donc je ne sais pas si j'ai été tout droit jusqu'à l'incompréhension des choses quand j'ai d'abord répondu ou si je l'a formulé mal excuses de toute façon. Mais pour en revenir à l'original de votre qn: Ce qui empêche les pirates de retirer le sel de la table de hachage, et il suffit de comparer sa non salé de hachage avec elle? S'il vous plaît corrigez-moi si je me trompe (je ne suis pas certain de ce que " il " se réfère à l'), mais je suis bien comprendre votre question à une comparaison de l'salé de hachage vs la non salé de hachage droit?... 1/2
    • 2/2 Si une base de données de bcrypt mots de passe a été piraté, le hacker aurait, à ce point dans le temps, le salé de hachage à partir de laquelle il peut extraire le sel (comme votre REPL montre) et le mot de passe haché. Cependant, il n'aurait pas le mot de passe lui-même, ni aurait-il le hachage du mot de passe sans le sel, c'est à dire Il n'y aurait rien pour lui à comparer le salé hachage qui conduirait à l'origine le mot de passe utilisé pour créer la table de hachage. Pour le dire d'une autre manière - le sel + pwd = salée de hachage. Le hachage est une fonction qui ne permettent pas la hacker pour générer de la ddt, même avec le sel.
    • Je comprends le sel est là pour éviter arc-en-ciel de la Table des attaques contre les mots de passe hachés dans la base de données. Mais lorsque le sel est fixé à l'avant de la table de hachage, le hacker peut comparer son haché arc-en-ciel de Table contre le bcrypt de hachage dans la base de données pour savoir qu'une sous-chaîne de la bcrypt hachages contient le réel de hachage de sortie pour le mot de passe... 1/2
    • 2/2 En d'autres termes, parce que le sel est attaché à la valeur de hachage de sortie il ne prendra pas beaucoup d'effort pour le hacker de repérer le mot de passe de la sortie de son arc-en-ciel de la Table, qui contient non salé bcrypt les hashs de mots de passe communs. Il a juste besoin de sous-chaîne de loin le sel. Il pourrait prendre quelques itérations, mais ne semble pas être un facteur important dans le retard de la tentative de récupérer le mot de passe. Et la probabilité que tous les sels ont la même longueur est probablement élevé. Ensuite, il suffit de chaîne de loin le sel pour chaque mot de passe une fois qu'il a trouvé le premier match.
    • Juste à titre d'exemple. Si j'avais le bcrypt hachages pour 3 les plus couramment utilisés par mot de passe, que la probabilité que je peux trouver un match contre une sous-chaîne de la première 1000 hachages avec les sels qui est bon, et presque certain contre les premiers 10 000. Maintenant, si la longueur de chaque généré le sel de la chaîne est la même que celle que j'ai trouvé dans mon premier match contre l'un des plus couramment utilisé des mots de passe. Alors j'ai juste besoin de sous-chaîne à l'écart de la première partie de chaque mot de passe de la base de données qui je sais que contient le sel.
    • Kevin, le hachage est généré à partir du sel + mot de passe + clé, de sorte qu'il serait différent des mots de passe différents, même avec le même sel. Cela signifie que vous ne pouvez pas venir à chauve-souris avec un hachage à portée de main pour les trois plus couramment utilisé des mots de passe, qui n'existe pas. Vous auriez besoin de craquer une nouvelle table de hachage à l'aide de l'connu de sel à la volée, mais vous avez besoin d'un troisième élément: la clé de chiffrement, qui est un "mot de passe fort" dans son propre droit. Le hasard sel ajoute une couche de difficulté dans le fait que vous ne pouvez pas venir à chauve-souris avec pré-hachage des mots de passe. Vous avez de hachage de tous les mots de passe pour essayer pour chaque sel, qui est en o(n^2).
    • Vous avez trouvé une liste de mots de passe. "123456" est un très commun de mot de passe, vous générez de son hachage, l'essayer contre toutes les entrées: accès instantané à un tas de comptes. Avec du sel, tous de la merde "123456" serait en fait être modifié pour être préfixé avec un unique sel (le texte en clair le mot de passe, pas le hash). Maintenant, vous avez besoin pour générer le hash SHA1 pour chaque entrée ("ak5t123456", "j3rt123456", "7w8d123456"). Vous avez besoin de plus de temps pour obtenir l'accès à ce même tas de comptes, donnant au service de plus de temps pour trouver et à réagir à propos de la violation.
    • Protéger le sel, tandis que peut-être en ajoutant une autre couche de sécurité, de ralentir le processus d'authentification, mais il ne sera pas nécessairement ralentir l'attaquant (qui pourrait aussi encourager certains à réduire le facteur travail). Vous pouvez toujours fournir votre propre sel de bcrypt autant que je sache. Cependant, je ne suis pas sûr que le coût de la protection de la sel-poids le coût de ne pas le protéger - ça va aller à déchets, si l'auth server se compromise, tandis que le sel de but n'a pas.
    • Je vois. Je pensais que les algorithmes de hachage comme bcrypt était censé être si sûr que vous pouvez les stocker pour quiconque de voir. Je suppose que le mot de passe n'est forte que c'est clair, la version. Trouver le texte clair de 123456 me prendrait que quelques secondes ou alors si j'ai compris les sels de longueur, et qui probablement ne prend que quelques heures, en supposant que le sel n'a pas le défaut de la longueur de 29 caractères. À partir de là, sur la recherche de mots de passe faibles ne prendrait aussi longtemps que le hachage de la vitesse (et la comparaison de la valeur de hachage pour les matches de la bce).
    • sachant que le sel de la longueur de ne pas réduire le niveau d'effort de manière significative. vous avez encore d'attaque de chaque mot de passe individuel. et chaque attaque réussie est indépendante de la suivante. vous n'avez pas d'en tirer un avantage par craquage d'un mot de passe faible, vous avez simplement fendu d'un mot de passe faible.

    InformationsquelleAutor Adam Paynter
  3. 0

    C'est à partir de PasswordEncoder documentation de l'interface à partir du Printemps de Sécurité,

     * @param rawPassword the raw password to encode and match
 * @param encodedPassword the encoded password from storage to compare with
 * @return true if the raw password, after encoding, matches the encoded password from
 * storage
 */
boolean matches(CharSequence rawPassword, String encodedPassword);

    Ce qui signifie que l'on devra correspondre rawPassword que l'utilisateur va entrer de nouveau lors de votre prochaine connexion et correspond avec Bcrypt codé mot de passe est stocke dans la base de données lors des précédentes connexion/inscription.

    InformationsquelleAutor Meet Shah