Является ли "двойной хэширование" паролем менее безопасным, чем просто его хэширование?

Является ли хэширование пароля дважды перед сохранением более или менее безопасным, чем просто его хеширование?

То, о чем я говорю, это:

$hashed_password = hash(hash($plaintext_password));

вместо этого:

$hashed_password = hash($plaintext_password);

Если он менее безопасен, можете ли вы дать хорошее объяснение (или ссылку на него)?

Кроме того, используется ли используемая хеш-функция? Не имеет значения, если вы смешиваете md5 и sha1 (например) вместо повторения одной и той же хеш-функции?

Примечание 1: Когда я говорю "двойное хеширование", я говорю о хэшировании пароля дважды, пытаясь сделать его более неясным. Я не говорю о методе для разрешения конфликтов.

Примечание 2: Я знаю, что мне нужно добавить случайную соль, чтобы сделать ее безопасной. Вопрос заключается в том, помогает ли хеширование с одним и тем же алгоритмом или повреждает хэш.

Ответ 1

Хеширование пароля один раз небезопасно

Нет, несколько хэшей не менее безопасны; они являются неотъемлемой частью безопасного использования пароля.

Итерирование хэша увеличивает время, необходимое злоумышленнику для проверки каждого пароля в списке кандидатов. Вы можете легко увеличить время, затрачиваемое на атаку пароля с нескольких часов на несколько лет.

Простая итерация недостаточно

Для обеспечения безопасности недостаточно хеш-вывода цепочки для ввода. Итерация должна выполняться в контексте алгоритма, который сохраняет энтропию пароля. К счастью, есть несколько опубликованных алгоритмов, которые имели достаточный контроль, чтобы дать уверенность в их дизайне.

Хороший алгоритм вывода ключей, такой как PBKDF2, вводит пароль в каждый раунд хэширования, смягчая опасения по поводу столкновений в хэш-выходе. PBKDF2 может использоваться для аутентификации пароля как есть. Bcrypt следует за ключевым деривацией с шагом шифрования; Таким образом, если обнаружен быстрый способ отменить вывод ключа, злоумышленнику еще предстоит выполнить атаку с известным текстом.

Как разбить пароль

Сохраненные пароли требуют защиты от автономной атаки. Если пароли не соленые, их можно сломать с помощью заранее вычисленной атаки словаря (например, используя таблицу Rainbow). В противном случае злоумышленник должен потратить время на вычисление хэша для каждого пароля и посмотреть, совпадает ли он с сохраненным хешем.

Все пароли не одинаковы. Атакующие могут исчерпывающе искать все короткие пароли, но они знают, что их шансы на успех грубой силы резко падают с каждым дополнительным персонажем. Вместо этого они используют упорядоченный список наиболее вероятных паролей. Они начинаются с "password123" и продвигаются к менее часто используемым паролям.

Скажем, список нападающих длинный, с 10 миллиардами кандидатов; предположим также, что настольная система может вычислить 1 миллион хэшей в секунду. Злоумышленник может проверить весь ее список менее трех часов, если используется только одна итерация. Но если используется только 2000 итераций, это время простирается почти до 8 месяцев. Чтобы победить более сложный злоумышленник, один из которых способен загружать программу, которая может задействовать мощность своего GPU, например, например, вам нужно больше итераций.

Сколько достаточно?

Количество итераций, используемых для использования, представляет собой компромисс между безопасностью и опытом пользователей. Специализированное оборудование, которое может быть использовано злоумышленниками, дешево, но он все равно может выполнять сотни миллионов итераций в секунду. Производительность системы злоумышленника определяет сколько времени потребуется, чтобы сломать пароль, учитывая количество итераций. Но ваше приложение вряд ли будет использовать это специализированное оборудование. Сколько итераций, которые вы можете выполнять без отягчающих пользователей, зависит от вашей системы.

Вероятно, вы можете позволить пользователям ждать дополнительного & frac34; во-вторых, во время аутентификации. Профилируйте свою целевую платформу и используйте столько итераций, сколько сможете. Платформы, которые я тестировал (один пользователь на мобильном устройстве или многие пользователи на серверной платформе), могут с комфортом поддерживать PBKDF2 с 60 000 и 120 000 итераций, или bcrypt с ценовым коэффициентом 12 или 13.

Больше фона

Прочтите PKCS № 5 для получения достоверной информации о роли соли и итераций в хешировании. Несмотря на то, что PBKDF2 предназначен для генерации ключей шифрования из паролей, он хорошо работает как односторонний хэш для аутентификации пароля. Каждая итерация bcrypt дороже, чем хэш SHA-2, поэтому вы можете использовать меньше итераций, но идея такая же. Bcrypt также выходит за рамки большинства решений на базе PBKDF2, используя производный ключ для шифрования хорошо известного текста. Полученный в результате шифрованный текст сохраняется как "хэш", а также некоторые метаданные. Однако ничто не мешает вам делать то же самое с PBKDF2.

Вот еще ответы, которые я написал на эту тему:

Ответ 2

Для тех, кто говорит, что они безопасны, они правильны вообще. "Двойное" хеширование (или логическое расширение этого, итерация хэш-функции) абсолютно безопасно , если сделано правильно, для конкретной проблемы.

Для тех, кто говорит, что это небезопасно, они правильны в этом случае. Код, который размещен в вопросе , небезопасен. Расскажите о том, почему:

$hashed_password1 = md5( md5( plaintext_password ) );
$hashed_password2 = md5( plaintext_password );

Есть два основных свойства хэш-функции, которые нас беспокоят:

  • Сопротивление предварительного изображения. Учитывая хеш $h, должно быть сложно найти сообщение $m такое, что $h === hash($m)

  • Сопротивление второго изображения - с учетом сообщения $m1, должно быть сложно найти другое сообщение $m2 такое, что hash($m1) === hash($m2)

  • Сопротивление столкновениям. Трудно найти пару сообщений ($m1, $m2), для которых hash($m1) === hash($m2) (обратите внимание, что это похоже на сопротивление второго изображения, но отличается тем, что здесь атакующий имеет контроль над обоими сообщениями)...

Для хранения паролей все, что нам действительно нужно, это Pre-Image Resistance. Остальные два будут спорными, потому что $m1 - это пароль пользователя, который мы пытаемся сохранить в безопасности. Так что если злоумышленник уже имеет это, хэш не имеет ничего, чтобы защитить...

ОТКАЗ

Все, что следует за этим, основано на предпосылке, что все, о чем мы заботимся, это Pre-Image Resistance. Остальные два основных свойства хеш-функций не могут (и, как правило, не) удерживаться одинаково. Таким образом, выводы в этом сообщении применимы только при использовании хеш-функций для хранения паролей. Они вообще не применимы...

Пусть начнется

Для этого обсуждения придумаем собственную хэш-функцию:

function ourHash($input) {
    $result = 0;
    for ($i = 0; $i < strlen($input); $i++) {
        $result += ord($input[$i]);
    }
    return (string) ($result % 256);
}

Теперь должно быть довольно очевидно, что делает эта хеш-функция. Он суммирует значения ASCII каждого символа ввода, а затем берет модуль этого результата с 256.

Итак, давайте протестируем его:

var_dump(
    ourHash('abc'), // string(2) "38"
    ourHash('def'), // string(2) "47"
    ourHash('hij'), // string(2) "59"
    ourHash('klm')  // string(2) "68"
);

Теперь посмотрим, что произойдет, если мы запустим его несколько раз вокруг функции:

$tests = array(
    "abc",
    "def",
    "hij",
    "klm",
);

foreach ($tests as $test) {
    $hash = $test;
    for ($i = 0; $i < 100; $i++) {
        $hash = ourHash($hash);
    }
    echo "Hashing $test => $hash\n";
}

Это выводит:

Hashing abc => 152
Hashing def => 152
Hashing hij => 155
Hashing klm => 155

Герм, ничего себе. Мы создали столкновения!!! Попробуем посмотреть, почему:

Здесь выводится хэширование строки каждого из возможных хэш-выходных данных:

Hashing 0 => 48
Hashing 1 => 49
Hashing 2 => 50
Hashing 3 => 51
Hashing 4 => 52
Hashing 5 => 53
Hashing 6 => 54
Hashing 7 => 55
Hashing 8 => 56
Hashing 9 => 57
Hashing 10 => 97
Hashing 11 => 98
Hashing 12 => 99
Hashing 13 => 100
Hashing 14 => 101
Hashing 15 => 102
Hashing 16 => 103
Hashing 17 => 104
Hashing 18 => 105
Hashing 19 => 106
Hashing 20 => 98
Hashing 21 => 99
Hashing 22 => 100
Hashing 23 => 101
Hashing 24 => 102
Hashing 25 => 103
Hashing 26 => 104
Hashing 27 => 105
Hashing 28 => 106
Hashing 29 => 107
Hashing 30 => 99
Hashing 31 => 100
Hashing 32 => 101
Hashing 33 => 102
Hashing 34 => 103
Hashing 35 => 104
Hashing 36 => 105
Hashing 37 => 106
Hashing 38 => 107
Hashing 39 => 108
Hashing 40 => 100
Hashing 41 => 101
Hashing 42 => 102
Hashing 43 => 103
Hashing 44 => 104
Hashing 45 => 105
Hashing 46 => 106
Hashing 47 => 107
Hashing 48 => 108
Hashing 49 => 109
Hashing 50 => 101
Hashing 51 => 102
Hashing 52 => 103
Hashing 53 => 104
Hashing 54 => 105
Hashing 55 => 106
Hashing 56 => 107
Hashing 57 => 108
Hashing 58 => 109
Hashing 59 => 110
Hashing 60 => 102
Hashing 61 => 103
Hashing 62 => 104
Hashing 63 => 105
Hashing 64 => 106
Hashing 65 => 107
Hashing 66 => 108
Hashing 67 => 109
Hashing 68 => 110
Hashing 69 => 111
Hashing 70 => 103
Hashing 71 => 104
Hashing 72 => 105
Hashing 73 => 106
Hashing 74 => 107
Hashing 75 => 108
Hashing 76 => 109
Hashing 77 => 110
Hashing 78 => 111
Hashing 79 => 112
Hashing 80 => 104
Hashing 81 => 105
Hashing 82 => 106
Hashing 83 => 107
Hashing 84 => 108
Hashing 85 => 109
Hashing 86 => 110
Hashing 87 => 111
Hashing 88 => 112
Hashing 89 => 113
Hashing 90 => 105
Hashing 91 => 106
Hashing 92 => 107
Hashing 93 => 108
Hashing 94 => 109
Hashing 95 => 110
Hashing 96 => 111
Hashing 97 => 112
Hashing 98 => 113
Hashing 99 => 114
Hashing 100 => 145
Hashing 101 => 146
Hashing 102 => 147
Hashing 103 => 148
Hashing 104 => 149
Hashing 105 => 150
Hashing 106 => 151
Hashing 107 => 152
Hashing 108 => 153
Hashing 109 => 154
Hashing 110 => 146
Hashing 111 => 147
Hashing 112 => 148
Hashing 113 => 149
Hashing 114 => 150
Hashing 115 => 151
Hashing 116 => 152
Hashing 117 => 153
Hashing 118 => 154
Hashing 119 => 155
Hashing 120 => 147
Hashing 121 => 148
Hashing 122 => 149
Hashing 123 => 150
Hashing 124 => 151
Hashing 125 => 152
Hashing 126 => 153
Hashing 127 => 154
Hashing 128 => 155
Hashing 129 => 156
Hashing 130 => 148
Hashing 131 => 149
Hashing 132 => 150
Hashing 133 => 151
Hashing 134 => 152
Hashing 135 => 153
Hashing 136 => 154
Hashing 137 => 155
Hashing 138 => 156
Hashing 139 => 157
Hashing 140 => 149
Hashing 141 => 150
Hashing 142 => 151
Hashing 143 => 152
Hashing 144 => 153
Hashing 145 => 154
Hashing 146 => 155
Hashing 147 => 156
Hashing 148 => 157
Hashing 149 => 158
Hashing 150 => 150
Hashing 151 => 151
Hashing 152 => 152
Hashing 153 => 153
Hashing 154 => 154
Hashing 155 => 155
Hashing 156 => 156
Hashing 157 => 157
Hashing 158 => 158
Hashing 159 => 159
Hashing 160 => 151
Hashing 161 => 152
Hashing 162 => 153
Hashing 163 => 154
Hashing 164 => 155
Hashing 165 => 156
Hashing 166 => 157
Hashing 167 => 158
Hashing 168 => 159
Hashing 169 => 160
Hashing 170 => 152
Hashing 171 => 153
Hashing 172 => 154
Hashing 173 => 155
Hashing 174 => 156
Hashing 175 => 157
Hashing 176 => 158
Hashing 177 => 159
Hashing 178 => 160
Hashing 179 => 161
Hashing 180 => 153
Hashing 181 => 154
Hashing 182 => 155
Hashing 183 => 156
Hashing 184 => 157
Hashing 185 => 158
Hashing 186 => 159
Hashing 187 => 160
Hashing 188 => 161
Hashing 189 => 162
Hashing 190 => 154
Hashing 191 => 155
Hashing 192 => 156
Hashing 193 => 157
Hashing 194 => 158
Hashing 195 => 159
Hashing 196 => 160
Hashing 197 => 161
Hashing 198 => 162
Hashing 199 => 163
Hashing 200 => 146
Hashing 201 => 147
Hashing 202 => 148
Hashing 203 => 149
Hashing 204 => 150
Hashing 205 => 151
Hashing 206 => 152
Hashing 207 => 153
Hashing 208 => 154
Hashing 209 => 155
Hashing 210 => 147
Hashing 211 => 148
Hashing 212 => 149
Hashing 213 => 150
Hashing 214 => 151
Hashing 215 => 152
Hashing 216 => 153
Hashing 217 => 154
Hashing 218 => 155
Hashing 219 => 156
Hashing 220 => 148
Hashing 221 => 149
Hashing 222 => 150
Hashing 223 => 151
Hashing 224 => 152
Hashing 225 => 153
Hashing 226 => 154
Hashing 227 => 155
Hashing 228 => 156
Hashing 229 => 157
Hashing 230 => 149
Hashing 231 => 150
Hashing 232 => 151
Hashing 233 => 152
Hashing 234 => 153
Hashing 235 => 154
Hashing 236 => 155
Hashing 237 => 156
Hashing 238 => 157
Hashing 239 => 158
Hashing 240 => 150
Hashing 241 => 151
Hashing 242 => 152
Hashing 243 => 153
Hashing 244 => 154
Hashing 245 => 155
Hashing 246 => 156
Hashing 247 => 157
Hashing 248 => 158
Hashing 249 => 159
Hashing 250 => 151
Hashing 251 => 152
Hashing 252 => 153
Hashing 253 => 154
Hashing 254 => 155
Hashing 255 => 156

Обратите внимание на тенденцию к увеличению числа. Это оказывается нашим безвыходным. Запуск хэша 4 раза ($ hash = ourHash ($ хэш) `, для каждого элемента) завершается, давая нам:

Hashing 0 => 153
Hashing 1 => 154
Hashing 2 => 155
Hashing 3 => 156
Hashing 4 => 157
Hashing 5 => 158
Hashing 6 => 150
Hashing 7 => 151
Hashing 8 => 152
Hashing 9 => 153
Hashing 10 => 157
Hashing 11 => 158
Hashing 12 => 150
Hashing 13 => 154
Hashing 14 => 155
Hashing 15 => 156
Hashing 16 => 157
Hashing 17 => 158
Hashing 18 => 150
Hashing 19 => 151
Hashing 20 => 158
Hashing 21 => 150
Hashing 22 => 154
Hashing 23 => 155
Hashing 24 => 156
Hashing 25 => 157
Hashing 26 => 158
Hashing 27 => 150
Hashing 28 => 151
Hashing 29 => 152
Hashing 30 => 150
Hashing 31 => 154
Hashing 32 => 155
Hashing 33 => 156
Hashing 34 => 157
Hashing 35 => 158
Hashing 36 => 150
Hashing 37 => 151
Hashing 38 => 152
Hashing 39 => 153
Hashing 40 => 154
Hashing 41 => 155
Hashing 42 => 156
Hashing 43 => 157
Hashing 44 => 158
Hashing 45 => 150
Hashing 46 => 151
Hashing 47 => 152
Hashing 48 => 153
Hashing 49 => 154
Hashing 50 => 155
Hashing 51 => 156
Hashing 52 => 157
Hashing 53 => 158
Hashing 54 => 150
Hashing 55 => 151
Hashing 56 => 152
Hashing 57 => 153
Hashing 58 => 154
Hashing 59 => 155
Hashing 60 => 156
Hashing 61 => 157
Hashing 62 => 158
Hashing 63 => 150
Hashing 64 => 151
Hashing 65 => 152
Hashing 66 => 153
Hashing 67 => 154
Hashing 68 => 155
Hashing 69 => 156
Hashing 70 => 157
Hashing 71 => 158
Hashing 72 => 150
Hashing 73 => 151
Hashing 74 => 152
Hashing 75 => 153
Hashing 76 => 154
Hashing 77 => 155
Hashing 78 => 156
Hashing 79 => 157
Hashing 80 => 158
Hashing 81 => 150
Hashing 82 => 151
Hashing 83 => 152
Hashing 84 => 153
Hashing 85 => 154
Hashing 86 => 155
Hashing 87 => 156
Hashing 88 => 157
Hashing 89 => 158
Hashing 90 => 150
Hashing 91 => 151
Hashing 92 => 152
Hashing 93 => 153
Hashing 94 => 154
Hashing 95 => 155
Hashing 96 => 156
Hashing 97 => 157
Hashing 98 => 158
Hashing 99 => 150
Hashing 100 => 154
Hashing 101 => 155
Hashing 102 => 156
Hashing 103 => 157
Hashing 104 => 158
Hashing 105 => 150
Hashing 106 => 151
Hashing 107 => 152
Hashing 108 => 153
Hashing 109 => 154
Hashing 110 => 155
Hashing 111 => 156
Hashing 112 => 157
Hashing 113 => 158
Hashing 114 => 150
Hashing 115 => 151
Hashing 116 => 152
Hashing 117 => 153
Hashing 118 => 154
Hashing 119 => 155
Hashing 120 => 156
Hashing 121 => 157
Hashing 122 => 158
Hashing 123 => 150
Hashing 124 => 151
Hashing 125 => 152
Hashing 126 => 153
Hashing 127 => 154
Hashing 128 => 155
Hashing 129 => 156
Hashing 130 => 157
Hashing 131 => 158
Hashing 132 => 150
Hashing 133 => 151
Hashing 134 => 152
Hashing 135 => 153
Hashing 136 => 154
Hashing 137 => 155
Hashing 138 => 156
Hashing 139 => 157
Hashing 140 => 158
Hashing 141 => 150
Hashing 142 => 151
Hashing 143 => 152
Hashing 144 => 153
Hashing 145 => 154
Hashing 146 => 155
Hashing 147 => 156
Hashing 148 => 157
Hashing 149 => 158
Hashing 150 => 150
Hashing 151 => 151
Hashing 152 => 152
Hashing 153 => 153
Hashing 154 => 154
Hashing 155 => 155
Hashing 156 => 156
Hashing 157 => 157
Hashing 158 => 158
Hashing 159 => 159
Hashing 160 => 151
Hashing 161 => 152
Hashing 162 => 153
Hashing 163 => 154
Hashing 164 => 155
Hashing 165 => 156
Hashing 166 => 157
Hashing 167 => 158
Hashing 168 => 159
Hashing 169 => 151
Hashing 170 => 152
Hashing 171 => 153
Hashing 172 => 154
Hashing 173 => 155
Hashing 174 => 156
Hashing 175 => 157
Hashing 176 => 158
Hashing 177 => 159
Hashing 178 => 151
Hashing 179 => 152
Hashing 180 => 153
Hashing 181 => 154
Hashing 182 => 155
Hashing 183 => 156
Hashing 184 => 157
Hashing 185 => 158
Hashing 186 => 159
Hashing 187 => 151
Hashing 188 => 152
Hashing 189 => 153
Hashing 190 => 154
Hashing 191 => 155
Hashing 192 => 156
Hashing 193 => 157
Hashing 194 => 158
Hashing 195 => 159
Hashing 196 => 151
Hashing 197 => 152
Hashing 198 => 153
Hashing 199 => 154
Hashing 200 => 155
Hashing 201 => 156
Hashing 202 => 157
Hashing 203 => 158
Hashing 204 => 150
Hashing 205 => 151
Hashing 206 => 152
Hashing 207 => 153
Hashing 208 => 154
Hashing 209 => 155
Hashing 210 => 156
Hashing 211 => 157
Hashing 212 => 158
Hashing 213 => 150
Hashing 214 => 151
Hashing 215 => 152
Hashing 216 => 153
Hashing 217 => 154
Hashing 218 => 155
Hashing 219 => 156
Hashing 220 => 157
Hashing 221 => 158
Hashing 222 => 150
Hashing 223 => 151
Hashing 224 => 152
Hashing 225 => 153
Hashing 226 => 154
Hashing 227 => 155
Hashing 228 => 156
Hashing 229 => 157
Hashing 230 => 158
Hashing 231 => 150
Hashing 232 => 151
Hashing 233 => 152
Hashing 234 => 153
Hashing 235 => 154
Hashing 236 => 155
Hashing 237 => 156
Hashing 238 => 157
Hashing 239 => 158
Hashing 240 => 150
Hashing 241 => 151
Hashing 242 => 152
Hashing 243 => 153
Hashing 244 => 154
Hashing 245 => 155
Hashing 246 => 156
Hashing 247 => 157
Hashing 248 => 158
Hashing 249 => 159
Hashing 250 => 151
Hashing 251 => 152
Hashing 252 => 153
Hashing 253 => 154
Hashing 254 => 155
Hashing 255 => 156

Мы сузились до 8 значений... Это Плохо... Наша оригинальная функция отображала S(∞) на S(256). То есть мы создали Surjective Function отображение $input в $output.

Поскольку у нас есть Сургующая функция, мы не гарантируем, что отображение для любого подмножества ввода не будет иметь столкновений (фактически, на практике они будут).

Что здесь произошло! Наша функция была плохая, но не потому, что это сработало (почему она работала так быстро и так полностью).

То же самое происходит с MD5. Он отображает S(∞) на S(2^128). Поскольку нет гарантии, что запуск MD5(S(output)) будет Injective, что означает, что он не будет иметь коллизий.

Раздел TL/DR

Поэтому, поскольку подача выходного сигнала обратно на MD5 напрямую может генерировать столкновения, каждая итерация увеличивает вероятность столкновений. Тем не менее это линейное увеличение, а это означает, что при уменьшении результирующего набора 2^128 он значительно не уменьшился достаточно быстро, чтобы быть критическим недостатком.

Итак,

$output = md5($input); // 2^128 possibilities
$output = md5($output); // < 2^128 possibilities
$output = md5($output); // < 2^128 possibilities
$output = md5($output); // < 2^128 possibilities
$output = md5($output); // < 2^128 possibilities

Чем больше вы повторяете, тем дальше идет сокращение.

Исправление

К счастью для нас, есть тривиальный способ исправить это: верните что-то в дальнейшие итерации:

$output = md5($input); // 2^128 possibilities
$output = md5($input . $output); // 2^128 possibilities
$output = md5($input . $output); // 2^128 possibilities
$output = md5($input . $output); // 2^128 possibilities
$output = md5($input . $output); // 2^128 possibilities    

Обратите внимание, что дальнейшие итерации не равны 2 ^ 128 для каждого отдельного значения для $input. Это означает, что мы можем генерировать значения $input, которые все еще сталкиваются по линии (и, следовательно, будут оседать или резонировать на гораздо меньших, чем 2^128 возможных выходах). Но общий случай для $input остается таким же сильным, как и для одного раунда.

Подождите, не так ли? Давайте проверим это с помощью нашей функции ourHash(). Переключение на $hash = ourHash($input . $hash);, для 100 итераций:

Hashing 0 => 201
Hashing 1 => 212
Hashing 2 => 199
Hashing 3 => 201
Hashing 4 => 203
Hashing 5 => 205
Hashing 6 => 207
Hashing 7 => 209
Hashing 8 => 211
Hashing 9 => 204
Hashing 10 => 251
Hashing 11 => 147
Hashing 12 => 251
Hashing 13 => 148
Hashing 14 => 253
Hashing 15 => 0
Hashing 16 => 1
Hashing 17 => 2
Hashing 18 => 161
Hashing 19 => 163
Hashing 20 => 147
Hashing 21 => 251
Hashing 22 => 148
Hashing 23 => 253
Hashing 24 => 0
Hashing 25 => 1
Hashing 26 => 2
Hashing 27 => 161
Hashing 28 => 163
Hashing 29 => 8
Hashing 30 => 251
Hashing 31 => 148
Hashing 32 => 253
Hashing 33 => 0
Hashing 34 => 1
Hashing 35 => 2
Hashing 36 => 161
Hashing 37 => 163
Hashing 38 => 8
Hashing 39 => 4
Hashing 40 => 148
Hashing 41 => 253
Hashing 42 => 0
Hashing 43 => 1
Hashing 44 => 2
Hashing 45 => 161
Hashing 46 => 163
Hashing 47 => 8
Hashing 48 => 4
Hashing 49 => 9
Hashing 50 => 253
Hashing 51 => 0
Hashing 52 => 1
Hashing 53 => 2
Hashing 54 => 161
Hashing 55 => 163
Hashing 56 => 8
Hashing 57 => 4
Hashing 58 => 9
Hashing 59 => 11
Hashing 60 => 0
Hashing 61 => 1
Hashing 62 => 2
Hashing 63 => 161
Hashing 64 => 163
Hashing 65 => 8
Hashing 66 => 4
Hashing 67 => 9
Hashing 68 => 11
Hashing 69 => 4
Hashing 70 => 1
Hashing 71 => 2
Hashing 72 => 161
Hashing 73 => 163
Hashing 74 => 8
Hashing 75 => 4
Hashing 76 => 9
Hashing 77 => 11
Hashing 78 => 4
Hashing 79 => 3
Hashing 80 => 2
Hashing 81 => 161
Hashing 82 => 163
Hashing 83 => 8
Hashing 84 => 4
Hashing 85 => 9
Hashing 86 => 11
Hashing 87 => 4
Hashing 88 => 3
Hashing 89 => 17
Hashing 90 => 161
Hashing 91 => 163
Hashing 92 => 8
Hashing 93 => 4
Hashing 94 => 9
Hashing 95 => 11
Hashing 96 => 4
Hashing 97 => 3
Hashing 98 => 17
Hashing 99 => 13
Hashing 100 => 246
Hashing 101 => 248
Hashing 102 => 49
Hashing 103 => 44
Hashing 104 => 255
Hashing 105 => 198
Hashing 106 => 43
Hashing 107 => 51
Hashing 108 => 202
Hashing 109 => 2
Hashing 110 => 248
Hashing 111 => 49
Hashing 112 => 44
Hashing 113 => 255
Hashing 114 => 198
Hashing 115 => 43
Hashing 116 => 51
Hashing 117 => 202
Hashing 118 => 2
Hashing 119 => 51
Hashing 120 => 49
Hashing 121 => 44
Hashing 122 => 255
Hashing 123 => 198
Hashing 124 => 43
Hashing 125 => 51
Hashing 126 => 202
Hashing 127 => 2
Hashing 128 => 51
Hashing 129 => 53
Hashing 130 => 44
Hashing 131 => 255
Hashing 132 => 198
Hashing 133 => 43
Hashing 134 => 51
Hashing 135 => 202
Hashing 136 => 2
Hashing 137 => 51
Hashing 138 => 53
Hashing 139 => 55
Hashing 140 => 255
Hashing 141 => 198
Hashing 142 => 43
Hashing 143 => 51
Hashing 144 => 202
Hashing 145 => 2
Hashing 146 => 51
Hashing 147 => 53
Hashing 148 => 55
Hashing 149 => 58
Hashing 150 => 198
Hashing 151 => 43
Hashing 152 => 51
Hashing 153 => 202
Hashing 154 => 2
Hashing 155 => 51
Hashing 156 => 53
Hashing 157 => 55
Hashing 158 => 58
Hashing 159 => 0
Hashing 160 => 43
Hashing 161 => 51
Hashing 162 => 202
Hashing 163 => 2
Hashing 164 => 51
Hashing 165 => 53
Hashing 166 => 55
Hashing 167 => 58
Hashing 168 => 0
Hashing 169 => 209
Hashing 170 => 51
Hashing 171 => 202
Hashing 172 => 2
Hashing 173 => 51
Hashing 174 => 53
Hashing 175 => 55
Hashing 176 => 58
Hashing 177 => 0
Hashing 178 => 209
Hashing 179 => 216
Hashing 180 => 202
Hashing 181 => 2
Hashing 182 => 51
Hashing 183 => 53
Hashing 184 => 55
Hashing 185 => 58
Hashing 186 => 0
Hashing 187 => 209
Hashing 188 => 216
Hashing 189 => 219
Hashing 190 => 2
Hashing 191 => 51
Hashing 192 => 53
Hashing 193 => 55
Hashing 194 => 58
Hashing 195 => 0
Hashing 196 => 209
Hashing 197 => 216
Hashing 198 => 219
Hashing 199 => 220
Hashing 200 => 248
Hashing 201 => 49
Hashing 202 => 44
Hashing 203 => 255
Hashing 204 => 198
Hashing 205 => 43
Hashing 206 => 51
Hashing 207 => 202
Hashing 208 => 2
Hashing 209 => 51
Hashing 210 => 49
Hashing 211 => 44
Hashing 212 => 255
Hashing 213 => 198
Hashing 214 => 43
Hashing 215 => 51
Hashing 216 => 202
Hashing 217 => 2
Hashing 218 => 51
Hashing 219 => 53
Hashing 220 => 44
Hashing 221 => 255
Hashing 222 => 198
Hashing 223 => 43
Hashing 224 => 51
Hashing 225 => 202
Hashing 226 => 2
Hashing 227 => 51
Hashing 228 => 53
Hashing 229 => 55
Hashing 230 => 255
Hashing 231 => 198
Hashing 232 => 43
Hashing 233 => 51
Hashing 234 => 202
Hashing 235 => 2
Hashing 236 => 51
Hashing 237 => 53
Hashing 238 => 55
Hashing 239 => 58
Hashing 240 => 198
Hashing 241 => 43
Hashing 242 => 51
Hashing 243 => 202
Hashing 244 => 2
Hashing 245 => 51
Hashing 246 => 53
Hashing 247 => 55
Hashing 248 => 58
Hashing 249 => 0
Hashing 250 => 43
Hashing 251 => 51
Hashing 252 => 202
Hashing 253 => 2
Hashing 254 => 51
Hashing 255 => 53

Там все еще есть грубая картина, но обратите внимание, что это не более шаблон, чем наша основная функция (которая уже была довольно слабой).

Обратите внимание, однако, что 0 и 3 стали столкновениями, хотя они не были в одном прогоне. Это приложение того, что я сказал ранее (что сопротивление столкновению остается одинаковым для набора всех входов, но конкретные пути столкновения могут открыться из-за недостатков в базовом алгоритме).

Раздел TL/DR

Отправляя входные данные в каждую итерацию, мы эффективно разрушаем любые столкновения, которые могли произойти в предыдущей итерации.

Следовательно, md5($input . md5($input)); должен быть (теоретически, по крайней мере) сильным, как md5($input).

Это важно?

Да. Это одна из причин того, что PBKDF2 заменил PBKDF1 на RFC 2898. Рассмотрим внутренние циклы двух::

PBKDF1:

T_1 = Hash (P || S) ,
T_2 = Hash (T_1) ,
...
T_c = Hash (T_{c-1}) 

Где c - счетчик итераций, P - пароль, а S - соль

PBKDF2:

U_1 = PRF (P, S || INT (i)) ,
U_2 = PRF (P, U_1) ,
...
U_c = PRF (P, U_{c-1})

Где PRF действительно просто HMAC. Но для наших целей здесь можно сказать, что PRF(P, S) = Hash(P || S) (т.е. PRF двух входов одинаково, грубо говоря, как хэш с двумя конкатенированными вместе). Это очень не, но для наших целей оно есть.

Итак, PBKDF2 поддерживает сопротивление столкновению базовой функции Hash, где PBKDF1 не работает.

Связывание всего этого вместе:

Мы знаем о безопасных способах итерации хэша. Фактически:

$hash = $input;
$i = 10000;
do {
   $hash = hash($input . $hash);
} while ($i-- > 0);

Обычно безопасен.

Теперь, чтобы перейти в , почему, мы хотели бы хешировать его, проанализировать движение энтропии.

Хеш принимает бесконечное множество: S(∞) и создает меньший, неизменно размерный набор S(n). Следующая итерация (при условии, что вход снова возвращается) отображает S(∞) на S(n):

S(∞) -> S(n)
S(∞) -> S(n)
S(∞) -> S(n)
S(∞) -> S(n)
S(∞) -> S(n)
S(∞) -> S(n)

Обратите внимание, что конечный результат имеет точно такое же количество энтропии, как и первое. Итерация будет не "сделать ее более скрытой". Энтропия идентична. Нет волшебного источника непредсказуемости (это псевдослучайная функция, а не случайная функция).

Однако есть все шансы на повторение. Это делает процесс хеширования искусственно медленнее. И почему итерация может быть хорошей идеей. Фактически, это основной принцип большинства современных алгоритмов хэширования паролей (тот факт, что выполнение чего-то сверх-и-over-over делает его медленнее).

Медленное - это хорошо, потому что он борется с основной угрозой безопасности: грубое форсирование. Чем медленнее мы используем алгоритм хэширования, тем сложнее нападающие должны работать, чтобы нанести у нас хеш-пароль. И это хорошая вещь!!!

Ответ 3

Да, повторное хеширование уменьшает пространство поиска, но нет, это не имеет значения - эффективное сокращение несущественно.

Повторное хеширование увеличивает время, затрачиваемое на грубую силу, но при этом только дважды также неоптимально.

То, что вы действительно хотите, - это хэш-пароль с PBKDF2 - проверенный метод использования безопасного хэша с солью и итерациями. Отметьте этот ответ SO.

EDIT: я почти забыл - НЕ ИСПОЛЬЗУЙТЕ MD5!!!! Используйте современный криптографический хеш, такой как семейство SHA-2 (SHA-256, SHA -384 и SHA-512).

Ответ 4

Да - уменьшает количество возможных строк, соответствующих строке.

Как вы уже упоминали, соленые хеши намного лучше.

Статья здесь: http://websecurity.ro/blog/2007/11/02/md5md5-vs-md5/, пытается доказать, почему она эквивалентна, но я не уверен в логике. Частично они предполагают, что нет никакого программного обеспечения для анализа md5 (md5 (текст)), но, очевидно, это довольно тривиально для создания радужных таблиц.

Я все еще придерживаюсь своего ответа о том, что количество хешей типа md5 (md5 (text)) меньше, чем хешей md5 (text), увеличивая вероятность столкновения (даже если все еще до маловероятной вероятности) и уменьшая пространство поиска.

Ответ 5

Я просто смотрю на это с практической точки зрения. Что такое хакер? Почему, комбинация символов, которые при передаче через хэш-функцию генерирует желаемый хэш.

Вы сохраняете только последний хэш, поэтому хакеру нужно только наложить один хэш. Предполагая, что у вас есть примерно одинаковые шансы наткнуться на желаемый хеш с каждым шагом брутто-силы, количество хэшей не имеет значения. Вы можете сделать миллион хеш-итераций, и это не увеличит или не уменьшит безопасность одного бита, так как в конце строки все еще остается только один хеш, и вероятность его разрыва такая же, как любая хэш.

Возможно, предыдущие плакаты считают, что вход релевантно; не это. Пока что вы помещаете в хеш-функцию, генерирует желаемый хэш, он проведет вас, правильный ввод или неправильный ввод.

Теперь радужные столы - это еще одна история. Поскольку таблица радуги содержит только сырые пароли, хеширование дважды может быть хорошей мерой безопасности, поскольку таблица радуги, содержащая каждый хэш каждого хэша, будет слишком большой.

Конечно, я рассматриваю только пример, который дал OP, где он просто хэширует простой текст. Если вы включаете имя пользователя или соль в хэш, это другая история; хеширование два раза совершенно ненужно, так как радужный стол уже был бы слишком велик, чтобы быть практичным и содержать правильный хэш.

В любом случае, не эксперт по безопасности здесь, но это то, что я понял из своего опыта.

Ответ 6

Лично я бы не стал беспокоиться о множественных хэш-тестах, но я бы удостоверился, что также hash имя пользователя (или другое поле User ID), а также пароль, поэтому два пользователя с одинаковым паролем не закончится тем же хэшем. Кроме того, я бы, вероятно, также добавил другую строку константы в строку ввода.

$hashed_password = md5( "xxx" + "|" + user_name + "|" + plaintext_password);

Ответ 7

Большинство ответов - люди без предыстории криптографии или безопасности. И они ошибаются. Используйте соль, если возможно, уникальную для каждой записи. MD5/SHA/etc - слишком быстрая, противоположная тому, что вы хотите. PBKDF2 и bcrypt медленнее (что хорошо), но могут быть побеждены с помощью ASIC/FPGA/GPU (очень скоро в настоящее время). Поэтому необходим алгоритм с памятью: введите scrypt.

Здесь объяснение непрофессионала о солях и скорости (но не о жестких алгоритмах памяти).

Ответ 8

В общем случае он не обеспечивает дополнительной защиты двойного хэша или двойного шифрования. Если вы можете разбить хэш один раз, вы можете сломать его снова. Обычно это не мешает безопасности, чтобы сделать это.

В вашем примере использования MD5, как вы, вероятно, знаете, есть некоторые проблемы с конфликтами. "Double Hashing" на самом деле не помогает защитить от этого, так как те же столкновения по-прежнему будут иметь тот же первый хэш, что и MD5 снова, чтобы получить второй хеш.

Это защищает от словарных атак, таких как "обратные MD5-базы данных", но также делает соление.

По касательной двойное шифрование чего-то не обеспечивает никакой дополнительной безопасности, потому что все, что она делает, - это результат использования другого ключа, который является комбинацией двух фактически используемых ключей. Таким образом, попытка найти "ключ" не удваивается, потому что на самом деле не нужно найти два ключа. Это неверно для хэширования, потому что результат хэша обычно не такой же длины, как исходный вход.

Ответ 9

Из того, что я прочитал, на самом деле может быть рекомендовано повторно ввести пароль в сотни или тысячи раз.

Идея состоит в том, что если вы можете сделать это, потребуется больше времени для кодирования пароля, это больше поможет злоумышленнику запустить множество догадок, чтобы взломать пароль. Это кажется преимуществом для повторного хеширования - а не для того, чтобы оно было более криптографически безопасным, но для создания атаки на словах требуется больше времени.

Конечно, компьютеры все быстрее растут, поэтому это преимущество уменьшается со временем (или требует увеличения итераций).

Ответ 10

Как показывают несколько ответов в этой статье, есть некоторые случаи, когда это может улучшить безопасность и другие, где это определенно вредит. Существует лучшее решение, которое, безусловно, улучшит безопасность. Вместо того, чтобы удваивать количество раз, когда вы вычисляете хеш, удваиваете размер вашей соли или удваиваете количество бит, используемых в хэше, или делайте оба! Вместо SHA-245 прыгайте до SHA-512.

Ответ 11

Предположим, вы используете алгоритм хеширования: вычислите rot13, возьмите первые 10 символов. Если вы делаете это дважды (или даже 2000 раз), можно сделать функцию, которая выполняется быстрее, но дает тот же результат (а именно, просто взять первые 10 символов).

Аналогично может быть возможно сделать более быструю функцию, которая дает тот же результат, что и повторная хеширующая функция. Поэтому ваш выбор функции хэширования очень важен: как и в примере rot13, не указано, что повторное хеширование улучшит безопасность. Если нет исследований, говорящих о том, что алгоритм предназначен для рекурсивного использования, то безопаснее предположить, что он не даст вам дополнительной защиты.

Это сказало: для всех, кроме простейших функций хэширования, скорее всего, эксперты криптографии будут вычислять более быстрые функции, поэтому, если вы защищаете от злоумышленников, которые не имеют доступа к специалистам по криптографии, на практике, вероятно, более безопасно использовать повторная хеширующая функция.

Ответ 12

Двойное хеширование имеет смысл для меня, только если я использую пароль на клиенте, а затем сохраняю хэш (с другой солью) этого хеша на сервере.

Таким образом, даже если кто-то взломал свой путь на сервер (тем самым игнорируя безопасность SSL), он все равно не сможет перейти к понятным паролям.

Да, у него будут данные, необходимые для нарушения в системе, но он не сможет использовать эти данные для компрометации внешних учетных записей, которые пользователь имеет. И люди, как известно, используют один и тот же пароль практически для всего.

Единственный способ, которым он мог получить четкие пароли, - это установить квитанцию ​​на клиенте - и это не ваша проблема.

Короче говоря:

  • Первое хеширование на клиенте защищает ваших пользователей в сценарии "нарушения сервера".
  • Второе хэширование на сервере служит для защиты вашей системы, если кто-то задержит резервное копирование базы данных, поэтому он не может использовать эти пароли для подключения к вашим услугам.

Ответ 13

Проблема сокращения пространства поиска математически корректна, хотя пространство поиска остается достаточно большим, что для всех практических целей (при условии, что вы используете соли), при 2 ^ 128. Однако, поскольку мы говорим о паролях, число возможных 16-символьных строк (буквенно-числовые, колпачки, несколько символов, брошенных в) составляет примерно 2 ^ 98, согласно моим вычислениям с обратной связью. Таким образом, воспринимаемое уменьшение в пространстве поиска не имеет особого значения.

Помимо этого, на самом деле нет разницы, криптографически.

Хотя есть крипто-примитив, называемый "цепочкой хеширования" - метод, который позволяет вам делать некоторые интересные трюки, например, раскрывать ключ подписи после его использования, не жертвуя целостностью системы - при минимальном времени синхронизации, это позволяет полностью обойти проблему первоначального распределения ключей. В принципе, вы предварительно компилируете большой набор хэшей хешей - h (h (h (h.... (h (k))...))), используйте n-е значение для подписи после заданного интервала, который вы отправляете введите ключ и подпишите его с помощью клавиши (n-1). Получатели теперь могут подтвердить, что вы отправили все предыдущие сообщения, и никто не может подделать вашу подпись, так как период времени, для которого он действителен, прошел.

Повторное хеширование в сотни тысяч раз, подобно предложениям Билла, - это просто трата вашего процессора... используйте более длинный ключ, если вы обеспокоены тем, что люди нарушают 128 бит.

Ответ 14

Я собираюсь выйти на конечность и сказать, что он более безопасен в определенных обстоятельствах... но не уменьшите меня, хотя!

С математической/криптографической точки зрения она менее безопасна по причинам, по которым я уверен, что кто-то еще даст вам более четкое объяснение, чем я мог.

Однако существуют большие базы данных хешей MD5, которые с большей вероятностью будут содержать текст "пароль", чем MD5. Таким образом, путем двойного хэширования вы снижаете эффективность этих баз данных.

Конечно, если вы используете соль, то это преимущество (недостаток?) уходит.

Ответ 15

Двойное хеширование является уродливым, потому что более чем вероятно, что злоумышленник построил таблицу, чтобы придумать большинство хэшей. Лучше солить ваши хэши и смешивать хэши вместе. Существуют также новые схемы для "подписи" хэшей (в основном соления), но более безопасным образом.

Ответ 16

Да.

Абсолютно не использовать несколько итераций обычной хэш-функции, например md5(md5(md5(password))). В лучшем случае вы получите предельное повышение безопасности (такая схема вряд ли защитит от атаки GPU, просто конвейер). В худшем случае вы уменьшаете свое пространство хэша (и, следовательно, безопасность) с каждой итерацией, которую вы добавляете, В безопасности разумно предположить худшее.

Используйте пароль, который был разработан компетентным криптографом, чтобы быть эффективным хэшем пароля и устойчивым к атакам как грубой силы, так и времени. К ним относятся bcrypt, scrypt и в некоторых ситуациях PBKDF2. Также допустим хэш на основе glibc SHA-256.