Hashing in SHA512 mit einem Salz? - Python

Bin ich auf der Suche durch ths hashlib Dokumentation, aber habe nicht gefunden was reden mit Salz wenn hashing Daten.

Hilfe wäre toll.

InformationsquelleAutor der Frage RadiantHex | 2010-05-24

  1. 66

    Samir s Antwort ist korrekt, aber etwas kryptisch. Im Grunde, das Salz ist nur ein willkürlich abgeleitet bit der Daten, die Sie Präfix oder postfix Ihre Daten mit, um drastisch erhöhen die Komplexität der dictionary-Angriff auf Ihr Hash-Wert. So ein Salz s und Daten d würden Sie nur das folgende tun, um erzeugen ein salted hash der Daten:

    import hashlib
hashlib.sha512( s + d ).hexdigest()

    Sehen diese wikipedia-Artikel für mehr details

    InformationsquelleAutor der Antwort Rakis

  2. 16

    Fügen Sie das Salz, um Ihre sensiblen Daten:

    >>> import hashlib
>>> m = hashlib.sha512()
>>> m.update('salt')
>>> m.update('sensitive data')
>>> m.hexdigest()
'70197a4d3a5cd29b62d4239007b1c5c3c0009d42d190308fd855fc459b107f40a03bd427cb6d87de18911f21ae9fdfc24dadb0163741559719669c7668d7d587'
>>> n = hashlib.sha512()
>>> n.update('%ssensitive data' % 'salt')
>>> n.hexdigest()
'70197a4d3a5cd29b62d4239007b1c5c3c0009d42d190308fd855fc459b107f40a03bd427cb6d87de18911f21ae9fdfc24dadb0163741559719669c7668d7d587'
>>> hashlib.sha512('salt' + 'sensitive data').hexdigest()
'70197a4d3a5cd29b62d4239007b1c5c3c0009d42d190308fd855fc459b107f40a03bd427cb6d87de18911f21ae9fdfc24dadb0163741559719669c7668d7d587'

    InformationsquelleAutor der Antwort Jason Leveille

  3. 8

    Salzen ist nicht ein Magischer Vorgang, muss die Bibliothek, um zu helfen Sie mit—es ist nur zusätzliche Daten zur Verfügung gestellt zu stoppen rainbow-Tabellen arbeiten.

    >>> import hashlib
>>> m = hashlib.sha512()
>>> m.update(b"Nobody inspects")
>>> m.update(b" the spammish repetition")
>>> m.digest()
b'\xd0\xf4\xc1LH\xadH7\x90^\xa7R\x0c\xc4\xafp\x0fd3\xce\t\x85\xe6\xbb\x87\xb6\xb4a|\xb9D\xab\xf8\x14\xbdS\x96M\xdb\xf5[A\xe5\x81+:\xfe\x90\x89\x0c\nM\xb7\\\xb0Cg\xe19\xfdb\xea\xb2\xe1'
>>> m.update(b"My super-secret salt.")
>>> m.digest()
b'\xcd\xd7K\xd9!~\xa8\x1d6\x9b\xa6\xde\x06\t\x02\xa1+}\xaeNA\x94a`\xaa\xf4\xe9\xb5\xff\x1f\x9cE\x84m\xbb\x98U\xb4z\x92\x9e\xe8\xc9\xc2\xc8\x8f\x068e\xb0\r\xed\xb7\xde\x80\xa6,\n\x111w{\xa2\x9b'

    InformationsquelleAutor der Antwort Samir Talwar

  4. 7

    Wenn Sie auf der Suche nach einem Ersatz für crypt(), neuere glibc-Versionen haben SHA-512-basierten "$6$" mit einer Variablen iterationsanzahl (siehe Ulrich Drepper ' s Seitedie eine Beschreibung und links zu einem vollständigen C-Implementierung von sha512_crypt_r()).

    Schreiben Sie Ihre eigenen Krypto ist sehr ratsam — die oben sha512(salt+password) hilft nicht gegen eine brute-force-Angriff.

    Für die Erzeugung von Salz, verwenden Sie so etwas wie os.urandom(16) für zufällige bytes oder ''.join(map(lambda x:'./0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz'[ord(x)%64], os.urandom(16))) für zufällige base64-alike-chars (für die Verwendung mit crypt()-alikes).

    (Ich sage base64-alike-es ist nicht der gleiche wie der im PEM-Base64/MIME.)

    InformationsquelleAutor der Antwort tc.

  5. 3

    verwenden passlib, schreiben Sie Ihre eigenen Passwort-crypto ist ein fast sicherer Weg zum scheitern.

    InformationsquelleAutor der Antwort Thomas Waldmann

  6. 2

    SHA512 ist kein guter Weg, zu speichern, Hash-Passwörter in diesen Tagen. Sie sollten mit bcrypt oder etwas ähnliches. Was wichtig ist, dass das Salzen integriert ist, und dass der Algorithmus hat eine bedeutende Arbeit Faktor.

    Wenn Sie Salz zu Ihrem SHA512-Passwörter, indem Sie einfach Anhängen (oder voranstellen) das Salz der Klartext, wer bekommt Ihre Hände auf eine Reihe von Ihre Hash-Passwörter und wendet eine moderne cracking-tool (http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/) zu sehen sein wird das verkettete Kennwort+salt Werte und wird sich wahrscheinlich durch triviales pattern-matching, in der Lage sein zu trennen, das Passwort Teil von den Salz-Anteil für die meisten, wenn nicht alle Konten in Frage stellen.

    Ich habe nicht gedacht, dass diese durch den ganzen Weg, und ich bin keineswegs ein security-Experte, aber es scheint mir, dass, wenn Sie wurden zu verschlüsseln (z.B. AES-256), wird das Passwort mit dem salt als Schlüssel, und dann hash dass mit SHA512, Sie wären sicher vor der Sicherheitsanfälligkeit, die ich oben beschrieben habe.

    Jedoch, an diesem Punkt, Sie haben mehr Aufwand, als es genommen hätte, um Schalter zu bcrypt und Sie würde immer noch nicht den Schutz eines Faktor Arbeit, also würde ich nur empfehlen, ein Ansatz wie, wenn die Umgebung in der Sie arbeiten, bietet diese Möglichkeit nicht.

    InformationsquelleAutor der Antwort JakeRobb

Schreibe einen Kommentar