Сохранение случайной соли при хешировании паролей bcrypt

Быстрый ответ

bcrypt включает соль прямо в хеш, делая лишним её сохранение отдельно. В процессе проверки, пароль подаётся на вход функции вместе с исходным хешем, и bcrypt автоматически извлекает из него соль для сравнения.

Пример на Java:

// Создаём хеш пароля c использованием соли.
String hashed = BCrypt.hashpw("yourPassword", BCrypt.gensalt());
// ...
// Проводим проверку на совпадение введенного пароля и хеша.
if (BCrypt.checkpw("yourPassword", hashed)) {
    // Пароли совпадают! Пользователь аутентифицирован.
}

Нам достаточно сохранять строку hashed в базе данных, поскольку она содержит и соль, и хеш пароля.

Как bcrypt «скрывает» соль в хеше?

bcrypt встраивает соль в результат хеширования, упрощая процесс аутентификации:

• Уникальная соль для каждого хеша: Как и снежинки, соль в bcrypt неповторима, обеспечивая уникальность хешей даже для совпадающих паролей.
• Автоматическое извлечение соли: При верификации, механизмы bcrypt самостоятельно обнаруживают соль внутри хеша.
• Упрощенная проверка: Выполняя все необходимые операции с солью автоматически, bcrypt упрощает процесс валидации пароля.

Встроенное использование соли дает возможность избегать отдельного управления солями, тем самым минимизируя риск уязвимостей.

Сопоставление bcrypt c классическими системами использования соли и хеша

В bcrypt процесс использования соли встроен и в отличие от классических систем хеширования не требует её дополнительного сохранения:

• Отдельное хранение соли увеличивает вероятность её “угону”, в bcrypt же она интегрирована в хеш.
• Классические системы требуют дополнительных операций для связывания пароля и соли, что увеличивает возможность ошибки.

bcrypt однозначно связывает каждый зашифрованный пароль с его солью, упрощая сложности традиционных подходов.

Основные соображения для безопасной реализации

Безопасная Работа с Хешами

Несмотря на то, что bcrypt обеспечивает автоматическое соление, важным продолжает оставаться правильная работа с хешами:

• Надо позаботиться о надёжном хранении хешей в базе данных.
• Нужно гарантировать безопасность процесса передачи хеша, используя, например, шифрование в процессе передачи данных (SSL/TLS).

Роль Соли в Безопасности Хеширования

Соль – это ключевой компонент защиты от атак:

• Rainbow tables: Уникальная соль делает такие атаки, основанные на предварительно подготовленных таблицах, недействительными.
• Brute force: Соль замеляет атаки перебором, требуя отдельной обработки для каждого хеша.

Масштабируемость bcrypt

Со своей возможностью настройки уровня сложности хеширования, bcrypt обеспечивает защиту данных при увеличении вычислительной мощности.

Визуализация

Представьте использование соли в bcrypt следующим образом:

🔒 bcrypt = пароль + соль 🧂

Соль является неотъемлемой частью хеша пароля:

📝 Хранение пароля:
    Зашифрованный пароль
    (🧂 соль включена внутрь)

Процесс верификации выполняется в следующем порядке:

🔑 Проверка пароля:
- Извлекаем встроенную соль 🧂
- Комбинируем её с введенным паролем 
- Сравниваем результат с хешем в базе данных

Полезные материалы

1. Хеширование на практике: Понимание bcrypt
2. Хранение Паролей – Памятка от OWASP
3. GitHub – patrickfav/bcrypt: Дополнительная реализация на Java
4. jBCrypt – надёжное хеширование паролей для Java
5. Безопасное Хеширование Паролей со Специальной Солью – Как Это Сделать Правильно
6. Проблемы Безопасности: Комбинирование Bcrypt с Другими Хеш-Функциями | Блог ircmaxell
7. Понимание Криптографии: Учебник для Студентов и Специалистов | SpringerLink