Есть ли смысл хешировать уже захешированные пароли?

Question

[HoHsi]

Добрый день!
Начитался, что MD5 + соль не такая беопасная связка, и в рамках усиление безопасности своих сервисов решил принять меры.

Сейчас в базе лежат захешированные (SHA256) пароли пользователей + соль (uuid v4), есть ли смысл их поверх захешировать, скажем Scrypt'ом (или Bcrypt'ом) или это не сделаем SHA256 более безопасным, а только лишь создась мусорную нагрузку?

Или имеет смысл ввести поле crypto_type, где хранить каким хешом был захешен пароль, и оставить старые пароли в покое, а хешить Scrypt'ом только новых пользователей?

Answer 1

[Владимир Дубровин]

Да, есть смысл для bcrypt как минимум. Задача bcrypt в том, чтобы замедлить процесс брутфорса и сделать его ресурсоемким и сложно реализуемым на специализированном оборудовании / GPU / ботнетах и т.п. (см. например openwall.info/wiki/john/GPU/bcrypt). Это сильно замедляет возможности подбора даже относительно слабых паролей.
Есть еще более интересные алгоритмы, например Argon2 и yescrypt.

Вводить разные хэши для разных пользователей не стоит, решение с "перехэшированием" старых хэшей вполне безопасно.

Comments

[HoHsi]

Только одна загвоздка, и новые пароли будут проходить чейн SHA256 -> Bcrypt. Это оправдано, ил SHA не станет безопаснее?

[Владимир Дубровин]

А что вы имеете ввиду под "небезопасностью"? В чем видите возможные риски? Я не вижу чем SHA256+Bcrypt может быть хуже, чем просто Bcrypt.

[HoHsi]

Владимир Дубровин: По сути, тем что любой хеш создает коллизии (это конечно не отменяет пароли 123456), но все-же тем самым мы увеличиваем риск коллизий сначала SHA256, а после BCrypt'а от него

[Владимир Дубровин]

HoHsi: для паролей, тем более хранящихся с солью, риск коллизии не представляет существенной угрозы даже на гораздо более худших хэшах.

[HoHsi]

Владимир Дубровин: а в чем тогда профит дополнительного хеширования?

[Владимир Дубровин]

HoHsi: так вы ответ прочитайте.

[HoHsi]

Владимир Дубровин: как я вас понял, это просто увеличит время высчитывания хеша, верно?

[Владимир Дубровин]

т.е. грубо говоря разница в том, что сейчас за неделю можно восстановить 60% паролей а будет 10%. Если, конечно, у вас пользователи сами пароли выбирают, а не получают рандомные.

[HoHsi]

Владимир Дубровин: неужели brypt можно так легко раскрыть? Я читал, что он чуть-ли не в 1000 раз сильнее MD5

[Владимир Дубровин]

HoHsi: если у пользователя пароль qwe123 то его ни один bcrypt не защитит. Если у вас рандомные (с криптографическим рандомом) пароли из 20 символов, то разницы чем их хэшировать вообще нет.

[Владимир Дубровин]

> просто увеличит время высчитывания
не только время, в современных алгоритмах есть еще CPU to memory tradeoff и можно взять параметры алгоритма такие, что эффективное вычисление будет возможно только, например, на машинах с >128GB памяти. Это сделает неэффективным использование для вычисления многих имеющихся кластеров/облаков/ботнетов и т.д.

[АртемЪ]

HoHsi:

неужели brypt можно так легко раскрыть? Я читал, что он чуть-ли не в 1000 раз сильнее MD5

Разумеется нет.
Раскрыть brypt как собственно и MD5 одинаково сложно, а именно - не возможно в принципе.
Хэш это вам не шифрование.
Он не содержит исходной информации, поэтому раскрыть его нельзя в в принципе, поэтому собственно их используют.
И отсюда же проистекает простейший вывод - не может быть какой то алгоритм хэширования сильней чем другой, нет такого понятия.

Разница между алгоритмами хэширования только в вероятности коллизий, и в ресурсоемкости вычисления хэша.
Только и всего.

[HoHsi]

АртемЪ:

Я не являюсь специалистом в криптографии.

Пожалуйста, не советуйте другим, в области которой не понимаете. Во-первых не обязательно "доскональна" раскрывать хеш. Можно нейти его "близнеца" по хешу, и следовательно для конечного сайта не будет разницы, реальный ли введен пароль или просто со схожей сигнатурой.

[АртемЪ]

HoHsi: Не являться специалистом и не понимать это несколько разные вещи, вы не находите?
Хэш не раскрывают.
Хэш вычисляют.
Суть брутафорса - берется пароль, хэшируется, и получившийся хэш сравнивается с имеющимся, если результат совпадает значит пароль найден, иначе продолжается перебор.

Answer 2

[АртемЪ]

Я не являюсь специалистом в криптографии.
Однако исходя из известных мне базовых принципов криптографии это занятие как минимум бессмысленно, как максимум вполне возможно понизит безопасность.

Сейчас в базе лежат захешированные (SHA256) пароли пользователей + соль (uuid v4)

Смысл этой фразы непонятен.
Как могут в базе лежать захешированные пароли? Что это вообще такое?
Бывают пароли - придуманные пользователем последовательности символов используемые для аутентификации.
Бывают хэши - результат работы функции хэширования.
О хэшированных паролях слышу в первый раз.

Обычно в базе хранят хэши паролей. Это нормальная практика.
А у вас что-то непонятное.

Comments

[ahosta]

Да понятно все. Он о хешах паролей и пишет.

[Roman K]

Прикопался к терминологии. Как же это глупо. Очевидно, что "хэшированный пароль" - это результат хэш-функции от пароля.

[HoHsi]

Я не являюсь специалистом в криптографии.

Я так понимаю, вы не шутили

[АртемЪ]

HoHsi: Конечно не шутил, это довольно сложная наука.
Я знаю только базу.
И исходя из этих знаний ясно что никакой дополнительной криптостойкости от того что вы хэшируете хэш не возникнет.
А вот наоборот - вполне возможно.

[loxnemamont]

АртемЪ: ну да, всего-то увеличится вдвое время брутфорса, никакой криптостойкости... "Иногда лучше жевать, чем говорить" ©

[АртемЪ]

loxnemamont: А с чего бы это увеличилось время брутофорса? Оно никак не изменится от того что вы будете хэшировать хэш.

[HoHsi]

АртемЪ: ну как минимум потому-что менее слабый хеш будет прохеширован сильным

[АртемЪ]

HoHsi: Ресурсоемкость рассчета хэша типа bcrypt на несколько порядков выше чем MD5
Поэтому в итоге время на вычисление двойного хэша будет фактически равно времени на вычисление одного хэша bcrypt.
Так стоит ли из за этого огород городить?