疑難雜症萬事通
在網路上遇到任何問題都可以在這邊找找看唷

Search

關於 password hashing ,我們在網路上蒐集到這些相關的討論、資訊與評價

相關標籤 相關照片 相關影片
在password hashing這個產品中,有4篇Facebook貼文,粉絲數超過16萬的網紅โปรแกรมเมอร์ไทย Thai programmer,也在其Facebook貼文中提到, #โปรแกรมเมอร์ เก็บ Password แบบไหน? ถึงจะปลอดภัย ในทางโปรแกรมมิ่งการเก็บ password ลงฐานข้อมูล (Database) ไม่ได้เก็บกันตรงโต้งๆ ไม่งั้นใครมาเห็นก็อ่...

password hashing 在 โปรแกรมเมอร์ไทย Thai programmer Facebook 的精選貼文

โปรแกรมเมอร์ไทย Thai programmer By โปรแกรมเมอร์ไทย Thai programmer

2020-10-19 13:15:38 有 192 人按讚
  • Share this:


#โปรแกรมเมอร์ เก็บ Password แบบไหน? ถึงจะปลอดภัย
ในทางโปรแกรมมิ่งการเก็บ password ลงฐานข้อมูล (Database) ไม่ได้เก็บกันตรงโต้งๆ ไม่งั้นใครมาเห็นก็อ่านได้หมด ซวยกันพอดี
:
วิธีเก็บ password ที่ปลอดภัย
จะนำมาผ่าน Hash function เสียก่อน เช่น
hash("1234") ได้คำตอบออกมาเป็น
a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9
:
หน้าที่ hash function จะแปลงพาสเวิร์ด "1234"
เป็นข้อความลับอะไรซักอย่างที่อ่านไม่ออก
ทั้งนี้ขนาดข้อความที่ได้จาก hash function จะคงที่ (fixed size)
:
สำหรับค่าที่ได้จาก Hash function มีหลายชื่อให้เรียกขาน เช่น
hash values, hash codes, digests
แต่ผมจะเรียกสั้นๆ ว่า "ค่า hash" แล้วกัน
:
ส่วนฟังก์ชั่นที่ใช้เป็น Hash function ในโลกนี้มีหลายตัว เช่น
MD5, SHA256, SHA512, RipeMD, WHIRLPOOL เป็นต้น
:
+++++
👉 ตัดกลับมาตอนนี้เราเก็บ password ในฐานข้อมูลเป็นค่า hash แล้วเวลายูสเซอร์ล็อกอินกรอก user name ป้อน password เข้ามาในระบบ
.
ก็จะมีสเตปการตรวจสอบ password ประมาณเนี่ย
.
1) ระบบจะเอา password มาเข้า hash funcion ได้เป็นค่า hash
2) เอาค่า hash ในข้อ 1 ไปเทียบดูในฐานข้อมูล (ของยูสเซอร์นั้น)
3) ถ้าค่าตรงกันแสดงว่ายูสเซอร์ป้อน password ได้ถูกต้อง แสดงว่าล็อกอินสำเร็จ
:
👉 เหตุผลที่ hash function มัน ok เพราะอาศัยคุณสมบัติดังนี้
1) hash function มันทำงานทางเดียว (one-way)
หมายถึงเราไม่สามารถนำค่า hash มาย้อนหาข้อความต้นฉบับได้เลย
.
ในกรณีนี้ต่อให้ hacker เห็นค่า hash เขาจะไม่สามารถถอดกลับ
มาเป็น "1234" ได้เลย
.
ด้วยเหตุนี้ค่า hash บางทีเขาจึงเรียกว่า "message digest" หมายถึง "ข้อความที่ย่อยสลาย" ...จนไม่รู้ต้นฉบับหน้าตาเป็นแบบไหนแล้ว
:
2) ถ้าข้อความต้นฉบับหน้าตาเดียวกันเป๊ะทุกกะเบียดนิ้ว
เวลาผ่าน hash function จะได้ค่า hash เหมือนเดิม
พอเปลี่ยนข้อความต้นฉบับนิดหนึ่ง
แม่เจ้า ....ค่า hash เปลี่ยนไปราวฟ้ากับเหว ต่างกันมาก
.
จึงเป็นไปไม่ได้ที่เราจะเก็บ password ต่างกัน
แล้วได้ค่า hash เดียวกัน ...เป็นไปไม่ด้ายยยย
(ไม่มีการชนกันหรือ crash)
:
+++++
👉 เพราะข้อดีของ hash function ที่ยกมา
เวลาเก็บ password ลงฐานข้อมูล จึงควรเปลี่ยนไปใช้ค่า hash แทน
.
รับรองได้ว่าต่อให้ hacker เจาะระบบเข้ามาได้ (กรณีเลวร้ายสุดๆ แหละ)
...แล้วอ่าน password ที่ถูกเข้ารหัส ก็จะอ่านไม่รู้เรื่อง
...ต่อให้พยายามถอดกลับมาเป็นข้อความต้นฉบับ ก็ทำไม่ได้นะจ๊ะ
:
ฟังเหมือนปลอดภัยนะ ถ้าเก็บรักษา password ด้วยวิธี hash function แต่ทว่า hacker ก็ยังสามารถใช้วิธีเดาสุ่มหา password ได้อยู่ดี ...ไม่ยากด้วย ขอบอกเลย
:
👉 ยกตัวอย่างง่ายๆ วิธี hack พาสเวิร์ดเบสิกสุดๆ
- ให้คิดว่าตอนนี้ hacker เจาะระบบเข้าไปอ่าน password ในฐานข้อมูลได้แล้ว
- จากนั้น hacker จะมองหาค่า hash (ของ password) ในฐานข้อมูลที่ซ้ำๆ กันอยู่
- นั่นหมายถึงเจอยูสเซอร์ใช้ password ซ้ำกัน จึงเจอค่า hash ซ้ำกันนั่นเอง
- แล้วการที่ยูสเซอร์ใช้ซ้ำ แสดงว่ามันเป็น password ง่ายนะซิ เช่น
123456, 1111, Baseball, Qwerty, password
.
ดังนั้น hacker ก็แค่ค้นหาในตาราง
ตารางที่ว่าจะเก็บ password พร้อมค่า hash
(เก็บพวก password ที่คนใช้กันเยอะ)
ซึ่ง hacker ก็จะค้นหาหาในตารางดังกล่าว
แบบไล่สุ่มไปเรื่อยๆ เดี่ยวก็เจอไม่ยาก
:
++++
👉 ก็เพราะเหตุนี้จึงต้องหาวิธีแก้ทาง hacker
ให้เดาสุ่มหา password มันทวีความยุ่งยากไปอีก
(จุดประสงค์ป้องเทคนิคพวกเดาสุ่ม เช่น
dictionary attacks, Brute Force Attacks, Lookup Tables,
Reverse Lookup Tables, Rainbow Tables)
:
👉 สำหรับวิธีการป้องกัน ก็จะทำประมาณเนี่ย
ก่อนที่จะเก็บ password ลงฐานข้อมูล ระบบจะต้องทำเยี่ยงนี้
1) จะนำ password มากบวกกับค่า salt
2) จากนั้นนำค่าที่ได้จากข้อ 1 มาเข้า hash function
แล้วเก็บค่า hash ที่ได้ลงฐานข้อมูล
.
ขออธิบายข้อ 2 เพิ่มเติม
จากเดิมเราเรียกใช้ hash function เช่น
hash("1234")
แต่เราจะเปลี่ยนมาเรียก
hash("1234" + "QxLUF1bgIAdeQX")
hash("1234" + "bv5PehSMfV11Cd")
hash("1234" + "YYLmfY6IehjZMQ")
.
ซึ่ง "QxLUF1bgIAdeQX", "bv5PehSMfV11Cd", "YYLmfY6IehjZMQ" ที่ยกตัวอย่าง
มันก็คือค่า "salt" (ที่แปลว่า "เกลือ")
เป็นค่า radom ที่แจกให้แต่ละยูสเซอร์ ไม่ซ้ำกันเลย
เราจะนำมาบวกกับ password ก่อนเข้า hash function
:
เวลาเก็บ password ในฐานข้อมูล
แต่ละยูสเซอร์จะต้องเก็บทั้งค่า hash กับ salt เอาไว้
.
👉 พอเวลายูสเซอร์ล็อกอินใส่ user name / password
1) ระบบก็เอา password มาบวกกับ salt
(แต่ละยูสเซอร์เก็บค่า salt คนละค่า)
2) นำค่าที่ได้จากข้อ 1 มาเข้า hash funcion
3) นำค่าที่ได้จากข้อ 2 ไปเปรียบเทียบกับ ค่า hash ในฐานข้อมูล
4) ถ้าตรงกันแสดงว่ายูสเซอร์ป้อน password ถูกต้อง แสดงว่าล็อกอินสำเร็จ
..
แต่มีข้อแม้ hash function ที่ควรใช้ได้แก่
Argon2, bcrypt, scrypt ($2y$, $5$, $6$), หรือ PBKDF2
มันถึงจะปลอดภัย ทำให้การเดาสุ่มหา password ทำได้ยากขึ้น
.
ส่วนพวก hash function ที่ทำงานได้รวดเร็ว เช่น
MD5, SHA1, SHA256, SHA512, RipeMD, WHIRLPOOL, SHA3, etc.
เนี่ยห้ามใช้นะครับ
หรืออย่าง crypt (เวอร์ชั่น $1$, $2$, $2x$, $3$) ก็ไม่ห้ามใช้นะครับ
:
+++++
👉 ในแง่การเขียนโปรแกรม
เข้าใจว่าแต่ละภาษาโปรแกรมมิ่ง หรือพวกเฟรมเวิร์ค
เขาคงเตรียมไลบรารี่ หรือเครื่องมือ
เอาไว้ให้ใช้ hash function รวมกับค่า salt อยู่แล้ว
เราสามารถเปิดคู่มือ แล้วทำตามได้เลยครับ
:
++++
👉 ย้ำที่อธิบายทั้งหมดนี้
เป็นการป้องกันการเจาะระบบฝั่งแอพ หรือระบบเท่านั้น
hacker ยังสามารถเดาสุ่มป้อน password
ได้โดยตรงที่หน้าแอพ หรือฝั่งล็อกอินหน้าโปรแกรมได้เลย (Brute Force Attacks)
.
ทางที่ดีระบบต้องเช็กว่าถ้ายูสเซอร์กรอก password ผิดติดต่อกันกี่ครั้ง?
ถึงจะระงับการใช้ user name นี้ชั่วคราว หรือจะแบน IP ที่ล็อกอินเข้ามาไปเลยก็ยังได้
.
ยิ่งถ้าเป็นการล็อกอินผ่านเว็บไซต์
ก็ควรให้เว็บเราใช้โปรโตคอล https ขืนไปใช้ http ธรรมดา
โอกาสเจอ hacker ดักจับ user name/ passwod กลางทางมีสูงมาก
.
เว้นแต่เราจะใช้เทคนิค Digest Access Authentication เข้าช่วย
ทำให้การส่ง user name/password ผ่าน http ธรรมดาได้อย่างปลอดภัย (แต่โค้ดดิ่งก็จะยุ่งยากตาม)
:
+++
😁 สรุป
1) เก็บพาสเวิร์ดตรงๆ โดยไม่เข้ารหัส -> hacker ชอบนักแล
2) เก็บพาสเวิร์ดโดยเข้ารหัสในรูป Hash values -> hacker อ่านไม่ออกก็จริง แต่ไม่ยากที่จะเดา password
3) เก็บพาสเวิร์ดโดยเข้ารหัสในรูป Hash values + salt vaues
-> hacker อ่านไม่ออก ต่อให้ไปเดาสุ่ม ก็จะทำได้ยากขึ้น
จุดประสงค์ข้อ 3 นี้เพื่อป้องกันด้วยเทคนิค ..... dictionary attacks, Brute Force Attacks, Lookup Tables, Reverse Lookup Tables, Rainbow Table
.
สุดท้ายขอจบเรื่อง hash funcion กับ password
ให้รอดพ้นจาก hacker ไว้เพียงเท่านั้น
หวังว่าจะเป็นประโยชน์ต่อทุกท่านนะครับ
.
++++++
เขียนโดย โปรแกรมเมอร์ไทย thai programmer
อ้างอิง
https://crackstation.net/hashing-security.htm
https://en.wikipedia.org/wiki/Hash_function

Tags:
โปรแกรมเมอร์ไทย Thai programmer

About author
เพจนี้เปิดใช้งานเมื่อ 22 มิถุนายน 2014 เพจนี้เน้นหนักไป ทางการเขียนโปรแกรม คอมพิวเตอร์ และไอที ล้วน ๆ แบบฮาร์ดคอ หรือจะไร้สาระ มุกตลกขำ
ให้สาระด้านไอที คอมพิวเตอร์ และอาชีพโปรแกรมเมอร์ และสายงานด้านคอมพิวเตอร์
160760 followers 154764 likes "https://www.patanasongsivilai.com/blog/"
View all posts

password hashing 在 โปรแกรมเมอร์ไทย Thai programmer Facebook 的最佳貼文

โปรแกรมเมอร์ไทย Thai programmer By โปรแกรมเมอร์ไทย Thai programmer

2020-07-19 10:28:55 有 412 人按讚
  • Share this:


#โปรแกรมเมอร์ เก็บ Password แบบไหน? ถึงจะปลอดภัย
ในทางโปรแกรมมิ่งการเก็บ password ลงฐานข้อมูล (Database) ไม่ได้เก็บกันตรงโต้งๆ ไม่งั้นใครมาเห็นก็อ่านได้หมด ซวยกันพอดี
:
วิธีเก็บ password ที่ปลอดภัย
จะนำมาผ่าน Hash function เสียก่อน เช่น
hash("1234") ได้คำตอบออกมาเป็น
a591a6d40bf420404a011733cfb7b190d62c65bf0bcda32b57b277d9
:
หน้าที่ hash function จะแปลงพาสเวิร์ด "1234"
เป็นข้อความลับอะไรซักอย่างที่อ่านไม่ออก
ทั้งนี้ขนาดข้อความที่ได้จาก hash function จะคงที่ (fixed size)
:
สำหรับค่าที่ได้จาก Hash function มีหลายชื่อให้เรียกขาน เช่น
hash values, hash codes, digests
แต่ผมจะเรียกสั้นๆ ว่า "ค่า hash" แล้วกัน
:
ส่วนฟังก์ชั่นที่ใช้เป็น Hash function ในโลกนี้มีหลายตัว เช่น
MD5, SHA256, SHA512, RipeMD, WHIRLPOOL เป็นต้น
:
+++++
👉 ตัดกลับมาตอนนี้เราเก็บ password ในฐานข้อมูลเป็นค่า hash แล้วเวลายูสเซอร์ล็อกอินกรอก user name ป้อน password เข้ามาในระบบ
.
ก็จะมีสเตปการตรวจสอบ password ประมาณเนี่ย
.
1) ระบบจะเอา password มาเข้า hash funcion ได้เป็นค่า hash
2) เอาค่า hash ในข้อ 1 ไปเทียบดูในฐานข้อมูล (ของยูสเซอร์นั้น)
3) ถ้าค่าตรงกันแสดงว่ายูสเซอร์ป้อน password ได้ถูกต้อง แสดงว่าล็อกอินสำเร็จ
:
👉 เหตุผลที่ hash function มัน ok เพราะอาศัยคุณสมบัติดังนี้
1) hash function มันทำงานทางเดียว (one-way)
หมายถึงเราไม่สามารถนำค่า hash มาย้อนหาข้อความต้นฉบับได้เลย
.
ในกรณีนี้ต่อให้ hacker เห็นค่า hash เขาจะไม่สามารถถอดกลับ
มาเป็น "1234" ได้เลย
.
ด้วยเหตุนี้ค่า hash บางทีเขาจึงเรียกว่า "message digest" หมายถึง "ข้อความที่ย่อยสลาย" ...จนไม่รู้ต้นฉบับหน้าตาเป็นแบบไหนแล้ว
:
2) ถ้าข้อความต้นฉบับหน้าตาเดียวกันเป๊ะทุกกะเบียดนิ้ว
เวลาผ่าน hash function จะได้ค่า hash เหมือนเดิม
พอเปลี่ยนข้อความต้นฉบับนิดหนึ่ง
แม่เจ้า ....ค่า hash เปลี่ยนไปราวฟ้ากับเหว ต่างกันมาก
.
จึงเป็นไปไม่ได้ที่เราจะเก็บ password ต่างกัน
แล้วได้ค่า hash เดียวกัน ...เป็นไปไม่ด้ายยยย
(ไม่มีการชนกันหรือ crash)
:
+++++
👉 เพราะข้อดีของ hash function ที่ยกมา
เวลาเก็บ password ลงฐานข้อมูล จึงควรเปลี่ยนไปใช้ค่า hash แทน
.
รับรองได้ว่าต่อให้ hacker เจาะระบบเข้ามาได้ (กรณีเลวร้ายสุดๆ แหละ)
...แล้วอ่าน password ที่ถูกเข้ารหัส ก็จะอ่านไม่รู้เรื่อง
...ต่อให้พยายามถอดกลับมาเป็นข้อความต้นฉบับ ก็ทำไม่ได้นะจ๊ะ
:
ฟังเหมือนปลอดภัยนะ ถ้าเก็บรักษา password ด้วยวิธี hash function แต่ทว่า hacker ก็ยังสามารถใช้วิธีเดาสุ่มหา password ได้อยู่ดี ...ไม่ยากด้วย ขอบอกเลย
:
👉 ยกตัวอย่างง่ายๆ วิธี hack พาสเวิร์ดเบสิกสุดๆ
- ให้คิดว่าตอนนี้ hacker เจาะระบบเข้าไปอ่าน password ในฐานข้อมูลได้แล้ว
- จากนั้น hacker จะมองหาค่า hash (ของ password) ในฐานข้อมูลที่ซ้ำๆ กันอยู่
- นั่นหมายถึงเจอยูสเซอร์ใช้ password ซ้ำกัน จึงเจอค่า hash ซ้ำกันนั่นเอง
- แล้วการที่ยูสเซอร์ใช้ซ้ำ แสดงว่ามันเป็น password ง่ายนะซิ เช่น
123456, 1111, Baseball, Qwerty, password
.
ดังนั้น hacker ก็แค่ค้นหาในตาราง
ตารางที่ว่าจะเก็บ password พร้อมค่า hash
(เก็บพวก password ที่คนใช้กันเยอะ)
ซึ่ง hacker ก็จะค้นหาหาในตารางดังกล่าว
แบบไล่สุ่มไปเรื่อยๆ เดี่ยวก็เจอไม่ยาก
:
++++
👉 ก็เพราะเหตุนี้จึงต้องหาวิธีแก้ทาง hacker
ให้เดาสุ่มหา password มันทวีความยุ่งยากไปอีก
(จุดประสงค์ป้องเทคนิคพวกเดาสุ่ม เช่น
dictionary attacks, Brute Force Attacks, Lookup Tables,
Reverse Lookup Tables, Rainbow Tables)
:
👉 สำหรับวิธีการป้องกัน ก็จะทำประมาณเนี่ย
ก่อนที่จะเก็บ password ลงฐานข้อมูล ระบบจะต้องทำเยี่ยงนี้
1) จะนำ password มากบวกกับค่า salt
2) จากนั้นนำค่าที่ได้จากข้อ 1 มาเข้า hash function
แล้วเก็บค่า hash ที่ได้ลงฐานข้อมูล
.
ขออธิบายข้อ 2 เพิ่มเติม
จากเดิมเราเรียกใช้ hash function เช่น
hash("1234")
แต่เราจะเปลี่ยนมาเรียก
hash("1234" + "QxLUF1bgIAdeQX")
hash("1234" + "bv5PehSMfV11Cd")
hash("1234" + "YYLmfY6IehjZMQ")
.
ซึ่ง "QxLUF1bgIAdeQX", "bv5PehSMfV11Cd", "YYLmfY6IehjZMQ" ที่ยกตัวอย่าง
มันก็คือค่า "salt" (ที่แปลว่า "เกลือ")
เป็นค่า radom ที่แจกให้แต่ละยูสเซอร์ ไม่ซ้ำกันเลย
เราจะนำมาบวกกับ password ก่อนเข้า hash function
:
เวลาเก็บ password ในฐานข้อมูล
แต่ละยูสเซอร์จะต้องเก็บทั้งค่า hash กับ salt เอาไว้
.
👉 พอเวลายูสเซอร์ล็อกอินใส่ user name / password
1) ระบบก็เอา password มาบวกกับ salt
(แต่ละยูสเซอร์เก็บค่า salt คนละค่า)
2) นำค่าที่ได้จากข้อ 1 มาเข้า hash funcion
3) นำค่าที่ได้จากข้อ 2 ไปเปรียบเทียบกับ ค่า hash ในฐานข้อมูล
4) ถ้าตรงกันแสดงว่ายูสเซอร์ป้อน password ถูกต้อง แสดงว่าล็อกอินสำเร็จ
..
แต่มีข้อแม้ hash function ที่ควรใช้ได้แก่
Argon2, bcrypt, scrypt ($2y$, $5$, $6$), หรือ PBKDF2
มันถึงจะปลอดภัย ทำให้การเดาสุ่มหา password ทำได้ยากขึ้น
.
ส่วนพวก hash function ที่ทำงานได้รวดเร็ว เช่น
MD5, SHA1, SHA256, SHA512, RipeMD, WHIRLPOOL, SHA3, etc.
เนี่ยห้ามใช้นะครับ
หรืออย่าง crypt (เวอร์ชั่น $1$, $2$, $2x$, $3$) ก็ไม่ห้ามใช้นะครับ
:
+++++
👉 ในแง่การเขียนโปรแกรม
เข้าใจว่าแต่ละภาษาโปรแกรมมิ่ง หรือพวกเฟรมเวิร์ค
เขาคงเตรียมไลบรารี่ หรือเครื่องมือ
เอาไว้ให้ใช้ hash function รวมกับค่า salt อยู่แล้ว
เราสามารถเปิดคู่มือ แล้วทำตามได้เลยครับ
:
++++
👉 ย้ำที่อธิบายทั้งหมดนี้
เป็นการป้องกันการเจาะระบบฝั่งแอพ หรือระบบเท่านั้น
hacker ยังสามารถเดาสุ่มป้อน password
ได้โดยตรงที่หน้าแอพ หรือฝั่งล็อกอินหน้าโปรแกรมได้เลย (Brute Force Attacks)
.
ทางที่ดีระบบต้องเช็กว่าถ้ายูสเซอร์กรอก password ผิดติดต่อกันกี่ครั้ง?
ถึงจะระงับการใช้ user name นี้ชั่วคราว หรือจะแบน IP ที่ล็อกอินเข้ามาไปเลยก็ยังได้
.
ยิ่งถ้าเป็นการล็อกอินผ่านเว็บไซต์
ก็ควรให้เว็บเราใช้โปรโตคอล https ขืนไปใช้ http ธรรมดา
โอกาสเจอ hacker ดักจับ user name/ passwod กลางทางมีสูงมาก
.
เว้นแต่เราจะใช้เทคนิค Digest Access Authentication เข้าช่วย
ทำให้การส่ง user name/password ผ่าน http ธรรมดาได้อย่างปลอดภัย (แต่โค้ดดิ่งก็จะยุ่งยากตาม)
:
+++
😁 สรุป
1) เก็บพาสเวิร์ดตรงๆ โดยไม่เข้ารหัส -> hacker ชอบนักแล
2) เก็บพาสเวิร์ดโดยเข้ารหัสในรูป Hash values -> hacker อ่านไม่ออกก็จริง แต่ไม่ยากที่จะเดา password
3) เก็บพาสเวิร์ดโดยเข้ารหัสในรูป Hash values + salt vaues
-> hacker อ่านไม่ออก ต่อให้ไปเดาสุ่ม ก็จะทำได้ยากขึ้น
จุดประสงค์ข้อ 3 นี้เพื่อป้องกันด้วยเทคนิค ..... dictionary attacks, Brute Force Attacks, Lookup Tables, Reverse Lookup Tables, Rainbow Table
.
สุดท้ายขอจบเรื่อง hash funcion กับ password
ให้รอดพ้นจาก hacker ไว้เพียงเท่านั้น
หวังว่าจะเป็นประโยชน์ต่อทุกท่านนะครับ
.
++++++
เขียนโดย โปรแกรมเมอร์ไทย thai programmer
อ้างอิง
https://crackstation.net/hashing-security.htm
https://en.wikipedia.org/wiki/Hash_function

Tags:
โปรแกรมเมอร์ไทย Thai programmer

About author
เพจนี้เปิดใช้งานเมื่อ 22 มิถุนายน 2014 เพจนี้เน้นหนักไป ทางการเขียนโปรแกรม คอมพิวเตอร์ และไอที ล้วน ๆ แบบฮาร์ดคอ หรือจะไร้สาระ มุกตลกขำ
ให้สาระด้านไอที คอมพิวเตอร์ และอาชีพโปรแกรมเมอร์ และสายงานด้านคอมพิวเตอร์
160760 followers 154764 likes "https://www.patanasongsivilai.com/blog/"
View all posts

password hashing 在 Eric Fan 范健文 Facebook 的最佳解答

Eric Fan 范健文 By Eric Fan 范健文

2020-04-27 07:52:29 有 7 人按讚
  • Share this:

IMPORTANT WARNING: If you are thinking of writing your own password hashing code, please don't!. It's too easy to screw up. No, that cryptography course you took in university doesn't make you exempt from this warning. This applies to everyone: DO NOT WRITE YOUR OWN CRYPTO! The problem of storing passwords has already been solved. Use either use either phpass, the PHP, C#, Java, and Ruby implementations in defuse/password-hashing, or libsodium.

Tags:
Eric Fan 范健文

About author
希望能保護香港網絡安全, 透過科技去幫助老人和小朋友. 以生命影響生命.
2086 followers 1915 likes "https://what.eric.fan/"
View all posts
社群媒體上有些相關的討論:

password hashing 在 RustCrypto/password-hashes - GitHub 的推薦與評價

Password hashing functions / KDFs. Contribute to RustCrypto/password-hashes development by creating an account on GitHub. ... <看更多>

password hashing 在 Why is client-side hashing of a password so uncommon? 的推薦與評價

Inventor of JavaScript password hashing here. Way back in 1998 I was building a Wiki, the first web site I'd built with a login system. ... <看更多>

你可能也想看看
Password hashing
密碼明碼
密碼加密方法
Hash password
hash還原
雜湊解密
Hashed password
hash加密
搜尋相關連結

#1. Password Hashing

Hashing performs a one-way transformation on a password, turning the password into another String, called the hashed password. “One-way” means that it is ...

#2. 用什麼樣的密碼比較安全呢?從基礎談起!

Hash your password. 如果你在做一個網站後端開發,一位使用者創帳號的時候,你要用一個固定的hash function 在 ...

#3. [資訊安全] 密碼存明碼,怎麼不直接去裸奔算了?淺談Hash , 用 ...

當我們說對密碼進行雜湊,意思就是指透過雜湊函式( hash function, 又稱雜湊演算法),將密碼「轉換/ 整形」成完全不一樣的樣貌,經過雜湊函數轉換後的內容,稱作雜湊 ...

#4. Hashing Passwords: One-Way Road to Security - Auth0

Password hashing is used to verify the integrity of your password, sent during login, against the stored hash so that your actual password never ...

#5. Cryptographic hash function - Wikipedia

A password hash requires the use of a large random, non-secret salt value which can be stored with the password hash. The salt ...

#6. Password Storage - OWASP Cheat Sheet Series

Hashing is a one-way function (i.e., it is impossible to "decrypt" a hash and obtain the original plaintext value). Hashing is appropriate for password ...

#7. What are Salted Passwords and Password Hashing? | Okta

Password hashing is defined as putting a password through a hashing algorithm (bcrypt, SHA, etc) to turn plaintext into an unintelligible series ...

#8. How to hash a password - Stack Overflow

STEP 1 Create the salt value with a cryptographic PRNG: ; STEP 2 Create the Rfc2898DeriveBytes and get the hash value: ; STEP 3 Combine the salt and password ...

#9. Secure Salted Password Hashing - How to do it Properly

The simplest way to crack a hash is to try to guess the password, hashing each guess, and checking if the guess's hash equals the hash being ...

#10. What is password hashing? | NordPass

Instead, when you're logging into your account, your password is converted into a complicated string of characters using password hashing ...

#11. password_hash - Manual - PHP

password_hash() creates a new password hash using a strong one-way hashing algorithm. password_hash() is compatible with crypt(). Therefore, password hashes ...

#12. How Do Passwords Work? - Thycotic

Hashing turns your password (or any other piece of data) into a short string of letters and/or numbers using an encryption algorithm.

#13. What is hashing: How this cryptographic process protects ...

Hashing is a cryptographic process that makes it harder for attackers to decrypt stored passwords, if used correctly.

#14. Passwords and hacking: the jargon of hashing, salting and ...

When a password has been “hashed” it means it has been turned into a scrambled representation of itself. A user's password is taken and – using ...

#15. Hashing a Password in Java | Baeldung

While there are several hash functions out there, those tailored to hashing passwords need to have four main properties to be secure: It should ...

#16. Hacker Lexicon: What Is Password Hashing? | WIRED

Instead, the cache of passwords is often converted into a collection of cryptographic hashes, random-looking strings of characters into which ...

#17. Password hashing - Libsodium documentation

However, passwords are usually short, human-generated strings, making dictionary attacks practical. Password hashing functions derive a secret key of any size ...

#18. CWE-916: Use of Password Hash With Insufficient ...

Many hash algorithms are designed to execute quickly with minimal overhead, even cryptographic hashes. However, this efficiency is a problem for password ...

#19. Password Hashing Competition

Password hashing is everywhere, from web services' credentials storage to mobile and desktop authentication or disk encryption systems.

#20. RustCrypto/password-hashes - GitHub

Password hashing functions / KDFs. Contribute to RustCrypto/password-hashes development by creating an account on GitHub.

#21. password hashing - Linguee | 中英词典(更多其他语言)

大量翻译例句关于"password hashing" – 英中词典以及8百万条中文译文例句搜索。

#22. DAHash: Distribution Aware Tuning of Password Hashing Costs

An attacker who breaks into an authentication server and steals all of the cryptographic password hashes is able to mount an offline-brute force ...

#23. The difference between Encryption, Hashing and Salting

Along the way we'll also cover salting, since it's in the news almost every single time a password database gets compromised. Let's hash it out.

#24. Reference for the current password hashing algorithms in ...

An ideal password hashing algorithm should be slow. When hashing is fast and password entropy is low, brute force attacks become a high risk.

#25. MySQL 5.6 Reference Manual :: 6.1.2.4 Password Hashing in ...

The longer password hash format has better cryptographic properties, and client authentication based on long hashes is more secure than that based on the older ...

#26. Password hashing — PyNaCl 1.1.0 documentation

Password hashing and password based key derivation mechanisms in actual use are all based on the idea of iterating a hash function many times on a ...

#27. Evaluation of Password Hashing Schemes in Open Source ...

PBKDF2 and BCRYPT use repeated iterations of the employed hash function to slow down the execution time of password hashing, and subsequently increase the ...

#28. Hash passwords in ASP.NET Core | Microsoft Docs

Learn how to hash passwords using the ASP.NET Core Data Protection APIs.

#29. Password Hashing . Prepare to get hacked | by Martin Thoma

The passwords were encrypted, not hashed. 2016: LinkedIn got hacked and used a weak hashing algorithm (source); 2019: 1.2 million passwords got ...

#30. How Password Hashing Algorithms Work and Why You Never ...

Before storing a user's password in your application's database, you're supposed to apply a cryptographic hash function to it. (You're not ...

#31. Simplest way of Password Hashing with bcrypt by SilvenLEAF

We use bcrypt to hash our passwords. But how to use it? We generally do 2 basic things with... Tagged with node, javascript, webdev, ...

#32. Changing the Active Directory password hash method

Password hashes can impact how vulnerable an organization's passwords are to an attacker or in a data leak that may expose hashed passwords.

#33. How password hashing works on Linux | Network World

The /etc/shadow contains a lot more information than usernames and password hashes. It includes, among other things, the hashing algorithm ...

#34. Password Hashing Overview - Informatica Documentation Portal

Password hashing is a way to encrypt passwords through a cryptographic hash function. The MDM Hub uses a password hashing method to protect user passwords ...

#35. Password Hashing - Go Web Examples

Password Hashing (bcrypt). This example will show how to hash passwords using bcrypt. For this we have to go get the golang bcrypt library like so:.

#36. Password hashing | Adobe Commerce Developer Guide

Currently Magento uses its own strategy for password hashing, based on different native PHP hashing algorithms. Magento supports multiple ...

#37. Java - Create a Secure Password Hash - HowToDoInJava

Learn Java hashing algorithms in-depth for hashing the passwords. A secure password hash is an encrypted sequence of characters obtained ...

#38. The art and science of password hashing - Help Net Security

Password hashing is a one-way cryptographic transformation on a password, turning it into another string, called the hashed password.

#39. Hashing: What You Need to Know About Storing Passwords

Password hashing add a layer of security. Hashing allows passwords to be stored in a format that can't be reversed at any reasonable amount ...

#40. Password Hashing Checker - Developer Portal

Password Hashing makes password storage and management more secure. · When using a one-way hashing algorithm, a bad actor would benefit even less from gaining ...

#41. Password management in Django

This document describes how Django stores passwords, how the storage hashing can be configured, and some utilities to work with hashed passwords. See also. Even ...

#42. 密碼加鹽加密介紹 - iT 邦幫忙

Day 4 - Using Argon2 for Salted Password Hashing with ASP.NET Web Forms C# 使用Argon2 替密碼加鹽後雜湊加密. ASP.NET Web Forms 入門- 30天建立遊艇網頁專案後端 ...

#43. Password Hashing | Nette Documentation

hash (string $passwords): string ... Generates password´s hash. ... The result $res is a string that, in addition to the hash itself, contains the identifier of the ...

#44. Paper: Password Hashing and Preprocessing - The ...

Paper: Password Hashing and Preprocessing ... the cryptanalytic effort needed to compromise t out of m instances of hashed passwords scale with the number ...

#45. Safe Password Hashing - PHP Manual

Why should I hash passwords supplied by users of my application? · Why are common hashing functions such as md5 and sha1 unsuitable for passwords? · How should I ...

#46. Web Password Hashing

A break-in at a low security site exposes password hashes rather than an actual password. We emphasize that the hash function we use is public and can be ...

#47. Beware of Password Shucking - Scott Brady

Password shucking is a method of stripping layers off an updated password hash, removing the benefits of its new password hashing algorithm ...

#48. Built-in password hashing and verification in PHP - Amit ...

Now, while saving the user data includig the password we can use password_hash creates a new password hash using a strong one-way hashing ...

#49. Password Hashing and Verification (Symfony Docs)

Configuring a Password Hasher. Before hashing passwords, you must configure a hasher using the password_hashers option. You must configure the hashing algorithm ...

#50. Security of Password Hashing in Cloud - Scientific Research ...

Password hash cracking is a method of attacking dumped hash to find flaws in the underlying secured hash characteristics that we discussed in the previous ...

#51. Password hashing algorithms - IBM

Hashing algorithms such as MD5 are harder to break than the crypt function. This provides a strong mechanism against brute-force password guessing attacks.

#52. Hashing - Laravel - The PHP Framework For Web Artisans

When hashing passwords, slow is good. The longer an algorithm takes to hash a password, the longer it takes malicious users to generate ...

#53. Security Analysis of salt||password Hashes - IEEE Xplore

Protection of passwords used to authenticate computer systems and networks is one of the most important application of cryptographic hash functions.

#54. What is the most used method for hashing passwords in PHP

Hashing password is a technique of converting a single password into another string called hashed password. The hashed password is generally ...

#55. Password hashing — TYPO3 Explained main documentation

If the latest configured hash algorithm has been changed, TYPO3 will update the stored frontend and backend user password hashes upon user login.

#56. The BIG-IP system stores password hashes using the SHA ...

In versions prior to 11.4.0, the BIG-IP system stored user password hashes using the MD5 hashing algorithm. The MD5 hash algorithm uses a ...

#57. Password hashing: Be careful about what you hash!

Implementing password storage for user authentication is difficult & error-prone. In case of mistake, the password'll be exposed to attacks.

#58. Password hashing - XLineSoft

You can hash your password manually using events. Let's say that you want to provide an admin with direct access to the Login table.

#59. Hashed passwords - DotNetNuke

BackgroundIn DotNetNuke 7.1.0, the default Password Format is being changed from encryption to hashing. This only.

#60. Password Hashing for Standard Authentication - MicroStrategy

Password Hashing for Standard Authentication. Beginning with MicroStrategy 10.11 a new hashing algorithm that provides much stronger security will be ...

#61. Analysis of Password and Salt Combination Scheme To ...

In system security, hashes play important role in ensuring data. It remains the secure and the management of access rights by those entitled to.

#62. Password Hashing in NodeJS using Bcrypt - LoginRadius

What if there was a way to prevent a hacker from accessing your user passwords even if your database is compromised? Yes, there is one called Password Hashing.

#63. What is password hashing? - Fairdinkum

What is password hashing? As hacks and breaches have become more common in recent years for companies, protecting passwords has become one of ...

#64. Password Hashing With Python - Dev Genius

Password hashing is the transformation of plaintext passwords to hashed strings using a secured hashing algorithm.

#65. WordPress Password Security and Hashing - Pressidium

Password hashing is a technique whereby the plaintext password is passed to a hash function and converted to a long alphanumeric value.

#66. Password Hashing | CodePath Android Cliffnotes

Password Hashing. Edit PagePage History. One of the primary uses for one-way hash algorithms is to store user passwords securely.

#67. Encryption and Hashing | NestJS - A progressive Node.js ...

Hashing is the process of converting a given key into another value. A hash function is used ... As an example, let's use bcrypt to hash a random password.

#68. Best practices for password hashing and storage - IETF Tools

Following best practices when hashing and storing passwords for use with SASL impacts a great deal more than just a users identity.

#69. 19.2. Hashing Passwords — Java Web Development ...

19.2. Hashing Passwords¶. Simple authentication allows users to log in to a site with a username and password. To implement authentication, we need to be able ...

#70. How to Hash and Salt Passwords in ASP.NET - Security ...

Use a hashing algorithm, such as SHA256, to store passwords. Make sure to salt the hashes. Step 1. Compute the Salt. You can compute the salt value by using the ...

#71. Why is client-side hashing of a password so uncommon?

Inventor of JavaScript password hashing here. Way back in 1998 I was building a Wiki, the first web site I'd built with a login system.

#72. Secure Passwords Through Enhanced Hashing - USENIX

A promising approach to obtaining secure online pass- words is password hashing, in which hashed passwords are sent to remote websites instead of plain-text ...

#73. Of History & Hashes: A Brief History of Password Storage ...

I was to cover the very basics, things like “What is a password hash?”, “What types are there?”, and “What is the history of passwords, ...

#74. Hashing and checking of passwords - Hackage

API. Every supported hashing algorithm has its own module (e.g. Data.Password.Bcrypt) which exports its own hashPassword and checkPassword ...

#75. Password Hashing - Atlassian Community

Please confirm which hashing functions used/available for hashing passwords in databases when using database instead of other LDAP ...

#76. SAP password hashes security

Restricting read access to tables containing password hashes. More about variety of password hash algorithms here. Of course, I suppose you are ...

#77. Understanding The bcrypt Hashing Function And Its Role in ...

It's a hash value of a plaintext a user chose as a password. The Difference Between Encryption And Hashing. With passwords being the sole means ...

#78. wp_hash_password() | Function

Creates a hash of a plain text password. Unless the global $wp_hasher is set, the default implementation uses PasswordHash , which adds salt to ...

#79. A Novel Memory-hard Password Hashing Scheme for ...

There has been an increasing interest of integrating blockchain into cyber-physical systems (CPS). The design of password hashing schemes ...

#80. Hashed Password - an overview | ScienceDirect Topics

The passwords appear to be hashed using a Blowfish-based hashing algorithm using the “portable PHP password hashing framework” ...

#81. Hashing Passwords - Python Cryptography Examples - Qvault

If you are building an application and need to store user credentials, learn about hash functions. Can I Store Passwords In Plain Text? To ...

#82. Salt and Hash Passwords with bcrypt | heynode.com

In this tutorial we'll: Learn about hashing; Learn about salting; Evaluate bcrypt's security; Salt and hash a password using bcrypt; Compare a ...

#83. Secure Password Hashing for Python Developers - nixCraft

Hashing without using salts was one of the reasons the password hashes from ... Special purpose password hashing algorithms are designed to ...

#84. Password hashing does not guarantee that your data is secure

The use of password hashing technology is a standard best practice among security professionals. Hashing applies a one-way cryptographic ...

#85. What is a Salt and How Does It Make Password Hashing More ...

LinkedIn stored passwords with an hashing algorithm but with no salt or other advanced security measures in place.

#86. How is the hash of a password with salt verified? - Quora

A hash is simple a one-way calculation performed on the password string, like a checksum. Given the result, you cannot necessarily generate the password. But ...

#87. Hashing Passwords for Fun and Security - Visual Studio ...

The solution, as you've no doubt heard, is to create a securely scrambled hash of each password before storing them in your user database.

#88. Risks and problems of password hashing / Sudo Null IT News

If you have not studied hashing algorithms, then you most likely perceive them as a ... The MD5 hash for this password is e10adc3949ba59abbe56e057f20f883e.

#89. A quarter of major CMSs use outdated MD5 as the default ...

Password hashing is the operation of taking a plaintext user-provided password and converting it into a jumble of seemingly-random ...

#90. A simple .NET password hashing implementation using BCrypt

NET password hashing implementation using BCrypt. 02 May 2014 Posted in security, encryption, cryptography, hashing, c#. By now, you've heard many many ...

#91. Password Hashing - Coldfusion Development Company

password_get_info() – returns the name of the hashing algorithm and various options used while hashing. Hash passwords supplied by users: Password hashing is ...

#92. Password Hashers - 2.x - CakePHP Cookbook

The default hash type is bcrypt . See the php documentation for further information on bcrypt and PHP's password hashing. The config options for this adapter ...

#93. Overview Of Web Password Hashing Using Salt Technique

Key Words: Salt technique, cryptography, hash function,. SHA, web security. 1.INTRODUCTION. “Web Password Hashing” it is a process of secure our web data ...

#94. Spring Security password hashing example - Mkyong.com

In this tutorial, we will show you how to use BCryptPasswordEncoder to hash a password and perform a login authentication in Spring Security ...

#95. how to determine sha512 or sha256 password-hash support

Hey. One of my colleagues suggests that we stop designating "md5" as the form of password-hashing, on the "pam_unix.so" line in whatever ...

#96. Password Hashing with Flask Tutorial - PythonProgramming.net

One of the more primitive measures taken was simple password hashing. This was where a hash function was applied to what the user input, and that hash was what ...

#97. Password-Hashing Status - e-Helvetica Access

In most of these occasions the user data were stored in clear or were just processed by a cryptographic hash function. Password-hashing ...