文章目录
- 常用安全哈希算法bcrypt
- 背景
- 什么是哈希算法bcrypt
- 哈希值验证
- 在线工具
- 编程方式
- Bcrypt的原理
常用安全哈希算法bcrypt
背景
在设计一个系统的时候,肯定都有会有用户身份认证的问题,一般对用户校验的时候,都是对用户存在数据库总的密码哈希值进行判断,从而避免密码泄露和反向解密。
虽然MD5、SHA-1等哈希算法在某些场景下也可以用于密码加密,但他们有一个共同点就是相同输入生成的hash值是不变的, 这就给暴力破解或Rowbain表破解创造了机会.
而Bcrypt算法具有一个重要的特性,即每次生成的哈希值都不同。这是由于Bcrypt算法在计算哈希值时,会使用一个随机的“盐值”来加密密码。
盐值是一个随机的字符串,会与密码组合在一起,然后再进行哈希处理。由于盐值是随机的,所以即使使用相同的密码,每次生成的哈希值也会不同。
另外,Bcrypt算法还可以使用一个“cost值”来控制哈希计算的强度和速度。cost值越高,计算时间和内存开销就越大,从而使得破解哈希值的攻击变得更加困难。
Bcrypt算法是一种非常安全的密码加密算法,已经被广泛应用于各种编程语言和操作系统中。
什么是哈希算法bcrypt
bcrypt是由Niels Provos和David Mazières设计的密码哈希函数,他是基于Blowfish密码而来的,并于1999年在USENIX上提出。
除了加盐来抵御rainbow table 攻击之外,bcrypt的一个非常重要的特征就是自适应性,可以保证加密的速度在一个特定的范围内,即使计算机的运算能力非常高,可以通过增加迭代次数的方式,使得加密速度变慢,从而可以抵御暴力搜索攻击。
bcrypt函数是OpenBSD和其他系统包括一些Linux发行版(如SUSE Linux)的默认密码哈希算法。
bcrypt主要用于存储和验证用户密码。由于其慢速和加盐的特性,bcrypt能够有效防止暴力破解和彩虹表攻击。
python
import bcrypt
# 明文密码
plain_password = 'admin123'
# 生成盐值并哈希密码
hashed_password = bcrypt.hashpw(plain_password.encode('utf-8'), bcrypt.gensalt())
# 输出哈希值
print(hashed_password.decode('utf-8'))
java
import org.mindrot.jbcrypt.BCrypt;
public class BcryptExample {
public static void main(String[] args) {
// 明文密码
String plainPassword = "admin123";
// 生成盐值并哈希密码
String hashedPassword = BCrypt.hashpw(plainPassword, BCrypt.gensalt());
// 输出哈希值
System.out.println(hashedPassword);
}
}
哈希值验证
bcrypt 哈希值的格式如下:
$2a\$10$3eBZzQ7q9XyYwZ1Q2W3X4e5R6T7U8V9W0X1Y2Z3A4B5C6D7E8F9G0H1I
- 2 a 2a 2a:bcrypt 算法版本。
- 10:Cost Factor(迭代次数)。
- 3eBZzQ7q9XyYwZ1Q2W3X4e:盐值(22 个字符)。
- 5R6T7U8V9W0X1Y2Z3A4B5C6D7E8F9G0H1I:哈希值(31 个字符)。
在线工具
https://bcrypt-generator.com/
编程方式
步骤 1:提取盐值
从哈希值中提取盐值部分。例如:
$2a$10$3eBZzQ7q9XyYwZ1Q2W3X4e
盐值为 3eBZzQ7q9XyYwZ1Q2W3X4e。
步骤 2:重新计算哈希
使用相同的盐值和 Cost Factor,对明文密码重新计算哈希值。
步骤 3:比较哈希值
将重新计算的哈希值与原始哈希值进行比较。如果一致,则说明明文密码正确。
import bcrypt
# 原始哈希值
hashed_password = b'$2a\$10$3eBZzQ7q9XyYwZ1Q2W3X4e5R6T7U8V9W0X1Y2Z3A4B5C6D7E8F9G0H1I'
# 明文密码
plain_password = 'admin123'
# 验证
if bcrypt.checkpw(plain_password.encode('utf-8'), hashed_password):
print("密码匹配")
else:
print("密码不匹配")
Bcrypt的原理
Bcrypt算法是一种密码哈希函数,它采用了salt和cost两种机制来增强密码的安全性。
-
盐值(Salt): 为了防止彩虹表攻击,Bcrypt算法会生成一个随机salt值,将salt与密码拼接后再进行哈希运算。这个salt值是由22个可打印字符组成的字符串,它的作用是使得相同密码的哈希值在不同的salt值下产生不同的结果,从而增加密码破解的难度。
-
迭代次数Rounds (Cost Factor): Bcrypt算法会将明文密码和salt进行多次迭代的哈希运算。迭代的次数是由cost值决定的,cost值越大,运算次数越多,从而增加密码破解的难度。通常来说,建议将cost值设置为12,这样可以保证安全性和性能的平衡。例如,Rounds = 10 表示哈希计算会进行 2^10 = 1024 次迭代。
通常建议 Rounds 值至少为 10,以确保足够的安全性。Rounds 值越高,哈希计算所需的时间越长。
