보안상의 이유로 비밀번호를 일반 텍스트로 저장해서는 안됩니다. 해시를 저장해야하며 레인보우 테이블 공격을 피하기 위해 해시를 신중하게 생성해야합니다.

그러나 일반적으로 마지막 n 개의 비밀번호 를 저장하고 다른 비밀번호간에 최소한의 복잡성과 최소한의 변경을 적용해야합니다 (Password_1, Password_2, ..., Password_ n 과 같은 순서를 사용하지 못하도록 ). 이것은 일반 텍스트 암호로 사소한 것이지만 해시 만 저장하여 어떻게 할 수 있습니까?

다시 말해 안전한 암호 기록 메커니즘을 구현하는 방법은 무엇입니까?

로그인 할 때 비밀번호를 확인하는 것과 같은 방식으로 해시를 저장하고 저장된 해시에 대해 입력 한 비밀번호를 확인하십시오. '최소'변경 사항을 감지하려면 숫자 패턴을 기반으로 주어진 비밀번호에서 '대체'비밀번호를 생성해야합니다.

로그인시 이미 해시에 대해 입력 한 비밀번호를 확인하면 비밀번호를 일반 텍스트로 저장할 필요가 없습니다. 비밀번호 변경과 관련하여 동일한 트릭이 작동합니다. 히스토리 해시와 비교하여 입력 및 '최소 변경'으로 생성 된 비밀번호를 확인하십시오. 새 비밀번호가 만족스러운 경우 현재 비밀번호 해시를 히스토리 세트로 이동하고 새 비밀번호의 새 해시로 바꾸십시오.

사용자가 비밀번호를 변경하면 이전 비밀번호를 입력하도록 요청하십시오. 데이터베이스에 일반 텍스트 비밀번호를 저장하지 않더라도 이제 두 개의 일반 텍스트 비밀번호에 액세스 할 수 있습니다.

이 두 비밀번호에 대해 원하는 검증을 수행하십시오. 이렇게하면 사용자가 두 개의 비밀번호를 번갈아 사용하는 것을 막을 수는 없지만 접미사를 사용하면 다른 답변의 제안에 따라 직접 변경을 방지 할 수 있습니다.

@martijnPieter의 답변에 추가하려면 새 암호와 이전 암호 (둘 다 사용할 수 있음)를 기반으로 짧은 무차별 대입으로 최소한의 변화를 구현할 수 있습니다

예를 들어 새 비밀번호에서 해밍 거리 가 1 또는 2 인 모든 비밀번호를 반복 하여 이전 비밀번호와 일치하는지 확인할 수 있습니다.

그러나 이렇게하면 비밀번호를 해싱하고 있다는 사용자의 신뢰도가 떨어질 수 있습니다 (기본적으로 새 비밀번호를 거부하기 위해 이전 비밀번호를 다시 가져올 수 있음).

이것은 @Brian의 영리한 답변에 대한 추가 부록입니다. 또한 현재 암호를 기반으로 기존 암호를 무차별 처리하는 방법과 "해밍 거리"를 위해 @ratchet freak에 대한 세부 정보를 추가 한 @Martijn Pieters를 방문하십시오. 답변을 백업하는 데 흥미로운 배경을 제공한다고 생각하기 때문에 답변을 삭제하지 않습니다.

최신 암호 저장소에는 각 사용자마다 고유 한 솔트 (128 비트 +)를 가진 여러 라운드의 강력한 단방향 암호화 해시 (SHA-512 +)를 사용해야합니다. 그러나 각 비밀번호에 대한 추가 정보를 저장하려는 유혹을받지 마십시오. 각 비밀번호에 대해 더 많은 정보를 저장할수록 해시 알고리즘의 보안이 약화됩니다.

예

다음을 알고 있다면 암호를 무차별하게하는 것이 얼마나 쉬운 지 고려하십시오.

• 길이는 7 자입니다
• 문자 3-5는 대문자입니다 (4는 더 낮음)
• 1과 7은 숫자입니다
• 6은 상징이다

미국 키보드에는 인쇄 가능한 95 개의 문자가 있으므로 암호가 7 자임을 알고 있으면 95 ^ 7 = 69,833,729,610,000 = 7x10 ^ 13 순열이됩니다. 실제로 임의적이라면 단일 3Ghz 프로세서에서이를 해독하는 데 1 년이 걸릴 수 있습니다. 그러나:

• 대문자 26 자 및 소문자 26 자만 있습니다
• 이 두 숫자에 대해 100 개의 가능성을 산출하는 10 자리 숫자 만 있습니다
• 32 개의 기호 만 있습니다

그래서 (@Hellion 덕분에 수정되었습니다) :

         26^4 (charcters 2-5 are known upper or lower-case)
        x 100 (characters 1 & 7 are digits)
        x  32 (character 6 is a symbol)
         ====
1,462,323,200 possible passwords.

균열하기 50,000 배가 더 쉽습니다! 이 경우 유사한 암호를 방지하기 위해 좋은 정보를 저장하면 1 년에서 몇 시간까지 7 자 암호의 균열 시간이 걸렸습니다. 좋은 비디오 카드와 약간의 인내심을 갖춘 강력한 멀티 프로세서 데스크탑에서 모든 암호를 해독하는 것이 가능해졌습니다. 이 간단한 예제를 통해 유사한 암호를보다 의미있게 비교할수록 해시의 보안 수준이 떨어집니다.

강력한 해싱의 중요성

비밀번호가있는 데이터베이스는 정기적으로 도난 당하며 매월 뉴스가 엄청나게 침입합니다. 지난달 SC 주정부는 모든 사람의 사회 보장 번호를 잃어 버렸습니다 . 이러한 위반 중 몇 개가 더 많이 포함됩니까?

결산 생각

나를 위해 가장 두려운 것은 사람들이 여러 사이트에 대해 동일하거나 유사한 암호를 선택하여 하나의 사이트로 침입하면 침입자가 모든 사이트에 액세스 할 수있게하는 것입니다. 가장 일반적인 잘못된 암호를 방지하면 개별 사용자가 동일한 사이트 내에서 잘못된 암호를 다시 사용하지 못하도록 방지하는 것보다 더 도움이된다고 생각하지만, 이러한 상황을 방지하는 입증 된 방법을보고 싶습니다. 내가 제안 할 수있는 최선의 방법은 각 사용자에 대해 매우 임의의 암호를 생성하고 안전하게 저장하는 보안 암호 관리자를 사용하는 회사 차원의 정책입니다.

먼저, 마지막 "n"이전 비밀번호에 대한 해시를 저장할 수 있으므로 새 비밀번호가 이전 비밀번호와 중복되는지 확인할 수 있습니다. 또한 현재 비밀번호의 일반 텍스트 (비밀번호 변경 요청을 인증하기 위해 로그인 또는 비밀번호를 제공했기 때문에) 및 새 비밀번호가 있으므로이 두 비밀번호 사이의 최소 변경 사항을 확인할 수 있습니다.

이 두 암호를 "n"이전 암호와 직접 비교하는 것이 매우 중요하다면 나중에 검색 할 수 있도록이 암호를 저장 (암호화)해야합니다.

이를 수행하기위한 보안 결함으로 볼 수 있지만 충분한 보안을 제공하기 위해 암호화 방법을 구현할 수 있습니다.

1. 마지막 "n"비밀번호에 대해 각 비밀번호 (암호화)를 저장하십시오.
2. 가장 최근 비밀번호가 작성된 날짜 및 시간을 저장하십시오.
3. 최신 비밀번호의 해시를 저장하십시오.
4. 현재 비밀번호의 해시 (염색 된) 및 비밀번호 작성 시간 소인 및 아마도 계정 번호 또는 이메일 주소를 사용하여 모든 비밀번호를 암호화하십시오.
5. 새 비밀번호가 작성 될 때마다 모든 비밀번호를 암호화 해제하고 다시 암호화하십시오.

그런 다음 비밀번호가 변경 될 때마다 이전 비밀번호를 모두 암호화 해제하고 모든 최소 변경 테스트를 수행 할 수 있습니다.

이제 누군가가이 사람의 암호를 가지고 있고 필요한 다른 모든 세부 사항을 알고 있다면이 사람의이 정보를 해독 할 수 있습니다. 그러나 이미이 사람의 암호를 가지고 있다면 이미이 사람으로 로그인하여이 사람의 계정에 액세스 할 수 있습니다.

또한 이전 비밀번호의 경우 엄격하게 일반 텍스트로 저장하지 않아도됩니다. 모호한 방식으로 저장 될 수 있습니다. 또는 비밀번호의 알파벳 문자 목록으로 저장됩니다.

나는 이것이 일반적인 경우에 권장되는 일이라고 말하지는 않지만, 당신이 묘사 한 작업이 귀하의 경우에 필요하다고 가정하면, 이것은 일부 보안 조치로 그것을 달성하는 한 가지 방법입니다.