Pythons sicherste Methode zum Speichern und Abrufen von Kennwörtern aus einer Datenbank

Suche speichern Benutzernamen und Passwörter in einer Datenbank, und Frage mich, was der sicherste Weg, dies zu tun ist. Ich weiß, ich habe zu verwenden, ein Salz irgendwo, bin mir aber nicht sicher, wie Sie Sie zu erzeugen, Sie sicher oder wie wird es angewendet, um das Kennwort zu verschlüsseln. Einige Beispiele für Python-Quelltext, wäre sehr dankbar. Danke.

Kommentar zu dem Problem - Öffnen
Viele Infos hier: stackoverflow.com/questions/1183161/... Kommentarautor: Justin Ethier

InformationsquelleAutor der Frage ensnare | 2010-04-03

  1. 36

    Speichern das Passwort+salt als hash und das Salz. Werfen Sie einen Blick auf, wie Django es tut: basic-docs und Quelle.
    In der db speichern Sie <type of hash>$<salt>$<hash> in ein einzelnes char-Feld. Sie können auch speichern Sie die drei Teile in separaten Feldern.

    Die Funktion, um das Kennwort festzulegen:

    def set_password(self, raw_password):
    import random
    algo = 'sha1'
    salt = get_hexdigest(algo, str(random.random()), str(random.random()))[:5]
    hsh = get_hexdigest(algo, salt, raw_password)
    self.password = '%s$%s$%s' % (algo, salt, hsh)

    Den get_hexdigest ist nur ein dünner wrapper um einige hashing-algorithmen. Sie können hashlib. So etwas wie hashlib.sha1('%s%s' % (salt, hash)).hexdigest()

    Und die Funktion um das Passwort zu prüfen:

    def check_password(raw_password, enc_password):
    """
    Returns a boolean of whether the raw_password was correct. Handles
    encryption formats behind the scenes.
    """
    algo, salt, hsh = enc_password.split('$')
    return hsh == get_hexdigest(algo, salt, raw_password)

    InformationsquelleAutor der Antwort rz.

  2. 14

    Ich denke, es ist am besten verwenden Sie ein Paket gewidmet hashing von Passwörtern für diese wie passlib: http://packages.python.org/passlib/ Gründen, wie ich hier erklärt: https://stackoverflow.com/a/10948614/893857

    InformationsquelleAutor der Antwort koffie

  3. 12

    Antwortete ich dieses hier: https://stackoverflow.com/a/18488878/1661689, und so hat @Koffie.

    Ich weiß nicht, wie oft genug betonen, dass die akzeptierte Antwort ist NICHT sicher. Es ist besser als plain-text, und besser als eine ungesalzene hash, aber es ist immer noch extrem anfällig Wörterbuch und auch brute-force-Angriffe. Stattdessen, bitte verwenden Sie eine LANGSAME KDF wie bcrypt (oder mindestens PBKDF2 mit 10.000 Iterationen)

    InformationsquelleAutor der Antwort Terrel Shumway

  4. 3

    Wenn du genug Kontrolle über beide Endpunkte der Anwendung, die absolute beste Weg ist, mit PAK-Z+.

    (Edited: die original-version empfohlen SRP aber PAK-Z+ hat einen Nachweis von Sicherheit.)

    InformationsquelleAutor der Antwort Paul Crowley

  5. 0

    Hier ist ein einfacher Weg (entnommen aus effbot), vorausgesetzt, die Passwörter mit einer Länge größer als 8, wird kein problem sein*:

    import crypt

import random, string

def getsalt(chars = string.letters + string.digits):
    # generate a random 2-character 'salt'
    return random.choice(chars) + random.choice(chars)

    zur Erzeugung der Passwort :

    crypt.crypt("password", getsalt())

    *: Ein Passwort mit einer Länge größer als 8 ist beraubt von den rechten bis zu 8 chars lange

    InformationsquelleAutor der Antwort llazzaro

Schreibe einen Kommentar