আমি জাভাতে কীভাবে পাসওয়ার্ড হ্যাশ করতে পারি?

একটি ডাটাবেসে সঞ্চয় করার জন্য আমার পাসওয়ার্ড হ্যাশ করতে হবে। আমি জাভাতে এটি কীভাবে করতে পারি?

আমি সমতল পাঠ্য পাসওয়ার্ড নেওয়ার প্রত্যাশা করছিলাম, এলোমেলো লবণ যুক্ত করুন, তারপরে লবণ এবং হ্যাশ পাসওয়ার্ডটি ডাটাবেসে সংরক্ষণ করুন।

তারপরে কোনও ব্যবহারকারী লগ ইন করতে চাইলে আমি তাদের জমা দেওয়া পাসওয়ার্ড নিতে পারি, তাদের অ্যাকাউন্টের তথ্য থেকে এলোমেলো লবণ যোগ করতে পারি, হ্যাশ করে দেখতে পারি এবং এটি যদি তাদের অ্যাকাউন্টের তথ্যের সাথে সঞ্চিত হ্যাশ পাসওয়ার্ডের সাথে সমান হয়।

এটি করার জন্য আপনি জাভা রানটাইমে অন্তর্নির্মিত কোনও সুবিধা ব্যবহার করতে পারেন। জাভা 6-এ সানজেসিই পিবিকেডিএফ 2 সমর্থন করে যা পাসওয়ার্ড হ্যাশিংয়ের জন্য ব্যবহার করার জন্য একটি ভাল অ্যালগরিদম।

byte[] salt = new byte[16];
random.nextBytes(salt);
KeySpec spec = new PBEKeySpec("password".toCharArray(), salt, 65536, 128);
SecretKeyFactory f = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
byte[] hash = f.generateSecret(spec).getEncoded();
Base64.Encoder enc = Base64.getEncoder();
System.out.printf("salt: %s%n", enc.encodeToString(salt));
System.out.printf("hash: %s%n", enc.encodeToString(hash));

এখানে একটি ইউটিলিটি ক্লাস যা আপনি পিবিকেডিএফ 2 পাসওয়ার্ড প্রমাণীকরণের জন্য ব্যবহার করতে পারেন:

import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.KeySpec;
import java.util.Arrays;
import java.util.Base64;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEKeySpec;

/**
 * Hash passwords for storage, and test passwords against password tokens.
 * 
 * Instances of this class can be used concurrently by multiple threads.
 *  
 * @author erickson
 * @see <a href="http://stackoverflow.com/a/2861125/3474">StackOverflow</a>
 */
public final class PasswordAuthentication
{

  /**
   * Each token produced by this class uses this identifier as a prefix.
   */
  public static final String ID = "$31$";

  /**
   * The minimum recommended cost, used by default
   */
  public static final int DEFAULT_COST = 16;

  private static final String ALGORITHM = "PBKDF2WithHmacSHA1";

  private static final int SIZE = 128;

  private static final Pattern layout = Pattern.compile("\\$31\\$(\\d\\d?)\\$(.{43})");

  private final SecureRandom random;

  private final int cost;

  public PasswordAuthentication()
  {
    this(DEFAULT_COST);
  }

  /**
   * Create a password manager with a specified cost
   * 
   * @param cost the exponential computational cost of hashing a password, 0 to 30
   */
  public PasswordAuthentication(int cost)
  {
    iterations(cost); /* Validate cost */
    this.cost = cost;
    this.random = new SecureRandom();
  }

  private static int iterations(int cost)
  {
    if ((cost < 0) || (cost > 30))
      throw new IllegalArgumentException("cost: " + cost);
    return 1 << cost;
  }

  /**
   * Hash a password for storage.
   * 
   * @return a secure authentication token to be stored for later authentication 
   */
  public String hash(char[] password)
  {
    byte[] salt = new byte[SIZE / 8];
    random.nextBytes(salt);
    byte[] dk = pbkdf2(password, salt, 1 << cost);
    byte[] hash = new byte[salt.length + dk.length];
    System.arraycopy(salt, 0, hash, 0, salt.length);
    System.arraycopy(dk, 0, hash, salt.length, dk.length);
    Base64.Encoder enc = Base64.getUrlEncoder().withoutPadding();
    return ID + cost + '$' + enc.encodeToString(hash);
  }

  /**
   * Authenticate with a password and a stored password token.
   * 
   * @return true if the password and token match
   */
  public boolean authenticate(char[] password, String token)
  {
    Matcher m = layout.matcher(token);
    if (!m.matches())
      throw new IllegalArgumentException("Invalid token format");
    int iterations = iterations(Integer.parseInt(m.group(1)));
    byte[] hash = Base64.getUrlDecoder().decode(m.group(2));
    byte[] salt = Arrays.copyOfRange(hash, 0, SIZE / 8);
    byte[] check = pbkdf2(password, salt, iterations);
    int zero = 0;
    for (int idx = 0; idx < check.length; ++idx)
      zero |= hash[salt.length + idx] ^ check[idx];
    return zero == 0;
  }

  private static byte[] pbkdf2(char[] password, byte[] salt, int iterations)
  {
    KeySpec spec = new PBEKeySpec(password, salt, iterations, SIZE);
    try {
      SecretKeyFactory f = SecretKeyFactory.getInstance(ALGORITHM);
      return f.generateSecret(spec).getEncoded();
    }
    catch (NoSuchAlgorithmException ex) {
      throw new IllegalStateException("Missing algorithm: " + ALGORITHM, ex);
    }
    catch (InvalidKeySpecException ex) {
      throw new IllegalStateException("Invalid SecretKeyFactory", ex);
    }
  }

  /**
   * Hash a password in an immutable {@code String}. 
   * 
   * <p>Passwords should be stored in a {@code char[]} so that it can be filled 
   * with zeros after use instead of lingering on the heap and elsewhere.
   * 
   * @deprecated Use {@link #hash(char[])} instead
   */
  @Deprecated
  public String hash(String password)
  {
    return hash(password.toCharArray());
  }

  /**
   * Authenticate with a password in an immutable {@code String} and a stored 
   * password token. 
   * 
   * @deprecated Use {@link #authenticate(char[],String)} instead.
   * @see #hash(String)
   */
  @Deprecated
  public boolean authenticate(String password, String token)
  {
    return authenticate(password.toCharArray(), token);
  }

}

আপনি যা চান ঠিক তেমন দুটি পদ্ধতিতে সম্পূর্ণ বাস্তবায়ন এখানে রয়েছে :

String getSaltedHash(String password)
boolean checkPassword(String password, String stored)

মুল বক্তব্যটি হ'ল যদি কোনও আক্রমণকারী আপনার ডাটাবেস এবং উত্স কোড উভয়টিতে অ্যাক্সেস পান তবে পাসওয়ার্ডগুলি এখনও নিরাপদ।

import javax.crypto.SecretKey;
import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEKeySpec;
import java.security.SecureRandom;
import org.apache.commons.codec.binary.Base64;

public class Password {
    // The higher the number of iterations the more 
    // expensive computing the hash is for us and
    // also for an attacker.
    private static final int iterations = 20*1000;
    private static final int saltLen = 32;
    private static final int desiredKeyLen = 256;

    /** Computes a salted PBKDF2 hash of given plaintext password
        suitable for storing in a database. 
        Empty passwords are not supported. */
    public static String getSaltedHash(String password) throws Exception {
        byte[] salt = SecureRandom.getInstance("SHA1PRNG").generateSeed(saltLen);
        // store the salt with the password
        return Base64.encodeBase64String(salt) + "$" + hash(password, salt);
    }

    /** Checks whether given plaintext password corresponds 
        to a stored salted hash of the password. */
    public static boolean check(String password, String stored) throws Exception{
        String[] saltAndHash = stored.split("\\$");
        if (saltAndHash.length != 2) {
            throw new IllegalStateException(
                "The stored password must have the form 'salt$hash'");
        }
        String hashOfInput = hash(password, Base64.decodeBase64(saltAndHash[0]));
        return hashOfInput.equals(saltAndHash[1]);
    }

    // using PBKDF2 from Sun, an alternative is https://github.com/wg/scrypt
    // cf. http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html
    private static String hash(String password, byte[] salt) throws Exception {
        if (password == null || password.length() == 0)
            throw new IllegalArgumentException("Empty passwords are not supported.");
        SecretKeyFactory f = SecretKeyFactory.getInstance("PBKDF2WithHmacSHA1");
        SecretKey key = f.generateSecret(new PBEKeySpec(
            password.toCharArray(), salt, iterations, desiredKeyLen));
        return Base64.encodeBase64String(key.getEncoded());
    }
}

আমরা সংরক্ষণ করছি 'salt$iterated_hash(password, salt)'। লবণ 32 এলোমেলো বাইট এবং এর উদ্দেশ্য হ'ল যদি দু'জন পৃথক লোক একই পাসওয়ার্ডটি বেছে নেয় তবে সঞ্চিত পাসওয়ার্ডগুলি এখনও আলাদা দেখায়।

iterated_hash, যা মূলত hash(hash(hash(... hash(password, salt) ...)))এটা খুবই একটি সম্ভাব্য আক্রমণকারীর অনুমান পাসওয়ার্ড, তাদের হ্যাশ আপনার ডাটাবেসের অ্যাক্সেস আছে জন্য ব্যয়বহুল করে তোলে, এবং ডাটাবেসের মধ্যে হ্যাশ আপ দেখুন। iterated_hashপ্রতিবার ব্যবহারকারী যখন লগইন করেন আপনাকে এটি গণনা করতে হবে, তবে আক্রমণকারীর তুলনায় এটি আপনার পক্ষে খুব বেশি খরচ করে না যারা তাদের সময়ের কম্পিউটিং হ্যাশগুলির প্রায় 100% ব্যয় করে।

বিসিক্রিপ্ট একটি খুব ভাল গ্রন্থাগার, এবং এটির একটি জাভা বন্দর রয়েছে।

আপনি ব্যবহার করতে পারেন শিরো লাইব্রেরির (পূর্বে JSecurity ) বাস্তবায়ন কি দ্বারা বর্ণিত হয় OWASP ।

দেখে মনে হচ্ছে জাসিপিটি লাইব্রেরির অনুরূপ উপযোগিতা রয়েছে ।

আপনি ব্যবহার করে হ্যাশগুলি গণনা করতে পারেন MessageDigestতবে এটি সুরক্ষার দিক থেকে ভুল। পাসওয়ার্ডগুলি সংরক্ষণ করার জন্য হ্যাশগুলি ব্যবহার করা উচিত নয়, কারণ এগুলি সহজেই ব্রেকযোগ্য।

আপনার পাসওয়ার্ড সংরক্ষণ করতে আপনার আরেকটি অ্যালগরিদম যেমন bcrypt, PBKDF2 এবং স্ক্রিপ্ট ব্যবহার করা উচিত। এখানে দেখুন ।

অন্যান্য উত্তরে উল্লিখিত বিসিআরপিট এবং পিবিকেডিএফ 2 ছাড়াও, আমি স্ক্রিপ্ট দেখার পরামর্শ দেব

MD5 এবং SHA-1 সুপারিশ করা হয় না কারণ তারা তুলনামূলকভাবে দ্রুত হয় "প্রতি ঘন্টা ভাড়া" বিতরণ করা কম্পিউটিং (উদাহরণস্বরূপ ইসি 2) বা একটি আধুনিক উচ্চ প্রান্তের জিপিইউ তুলনামূলকভাবে কম ব্যয় এবং যুক্তিসঙ্গত ব্রুট ফোর্স / অভিধান আক্রমণ ব্যবহার করে পাসওয়ার্ডগুলিকে "ক্র্যাক" করতে পারে সময়।

যদি আপনার এগুলি অবশ্যই ব্যবহার করা হয় তবে কমপক্ষে একটি পূর্বনির্ধারিত উল্লেখযোগ্য পরিমাণের (1000+) অ্যালগরিদমকে অন্তত পুনরাবৃত্তি করুন।

• আরও তথ্যের জন্য এখানে দেখুন: /security/211/how-to-securely-hash-p पासवर्ड

• এবং এখানে: http://codahale.com/how-to-safely-store-a-password/ (পাসওয়ার্ড হ্যাশিংয়ের উদ্দেশ্যে SHA পরিবার, MD5 ইত্যাদির সমালোচনা করে)

• এবং এখানে: http://www.unlimitednovelty.com/2012/03/dont-use-bcrypt.html (bcrypt সমালোচনা করে এবং স্ক্রিপ্ট এবং PBKDF2 এর প্রস্তাব দেয়)

এরিকসনের সাথে সম্পূর্ণরূপে একমত যে পিবিকেডিএফ 2 এর উত্তর।

আপনার যদি সেই বিকল্প না থাকে বা কেবল একটি হ্যাশ ব্যবহার করা প্রয়োজন, অ্যাপাচি কমন্স ডাইজেস্ট ইউটিসগুলি সঠিকভাবে জেসিই কোড পাওয়ার চেয়ে সহজ: https://commons.apache.org/proper/commons-codec/apidocs/org/apache /commons/codec/digest/DigestUtils.html

যদি আপনি একটি হ্যাশ ব্যবহার করেন তবে sha256 বা sha512 সহ যান। পাসওয়ার্ড হ্যান্ডলিং এবং হ্যাশিং সম্পর্কে এই পৃষ্ঠায় ভাল সুপারিশ রয়েছে (নোট করুন এটি পাসওয়ার্ড হ্যান্ডলিংয়ের জন্য হ্যাশ করার পরামর্শ দেয় না): http://www.daemonology.net/blog/2009-06-11-cryptographic-right-answers.html

আপনি ব্যবহার করতে পারে স্প্রিং সিকিউরিটি ক্রিপ্টো (শুধুমাত্র হয়েছে 2 ঐচ্ছিক কম্পাইল নির্ভরতা ), যা সমর্থন PBKDF2 , BCrypt , SCrypt এবং Argon2 পাসওয়ার্ড এনক্রিপশন।

Argon2PasswordEncoder argon2PasswordEncoder = new Argon2PasswordEncoder();
String aCryptedPassword = argon2PasswordEncoder.encode("password");
boolean passwordIsValid = argon2PasswordEncoder.matches("password", aCryptedPassword);

SCryptPasswordEncoder sCryptPasswordEncoder = new SCryptPasswordEncoder();
String sCryptedPassword = sCryptPasswordEncoder.encode("password");
boolean passwordIsValid = sCryptPasswordEncoder.matches("password", sCryptedPassword);

BCryptPasswordEncoder bCryptPasswordEncoder = new BCryptPasswordEncoder();
String bCryptedPassword = bCryptPasswordEncoder.encode("password");
boolean passwordIsValid = bCryptPasswordEncoder.matches("password", bCryptedPassword);

Pbkdf2PasswordEncoder pbkdf2PasswordEncoder = new Pbkdf2PasswordEncoder();
String pbkdf2CryptedPassword = pbkdf2PasswordEncoder.encode("password");
boolean passwordIsValid = pbkdf2PasswordEncoder.matches("password", pbkdf2CryptedPassword);

যদিও , NIST সুপারিশ PBKDF2 ইতিমধ্যে উল্লিখিত হয়েছে, আমি বাতলান করতে একটি সর্বজনীন ছিল চাই পাসওয়ার্ড হ্যাশ প্রতিযোগিতা যে 2013 থেকে 2015. শেষ পর্যন্ত পালিয়ে যায়, Argon2 প্রস্তাবিত পাসওয়ার্ড হ্যাশ ফাংশন হিসাবে মনোনীত হন।

মূল (নেটিভ সি) লাইব্রেরির জন্য আপনি ব্যবহার করতে পারেন এমন একটি মোটামুটি ভালভাবে গৃহীত জাভা বাইন্ডিং রয়েছে ।

গড় ব্যবহারের ক্ষেত্রে, আমি যদি মনে করি না আপনি যদি আরগোন ২ বা তদ্বিপরীত থেকে PBKDF2 বেছে নেন তবে এটি সুরক্ষার দৃষ্টিকোণ থেকে গুরুত্বপূর্ণ। আপনার যদি দৃ strong় সুরক্ষা প্রয়োজনীয়তা থাকে তবে আমি আপনার মূল্যায়নে আর্গন 2 বিবেচনা করার পরামর্শ দিচ্ছি।

পাসওয়ার্ড হ্যাশিং ফাংশনগুলির সুরক্ষা সম্পর্কিত আরও তথ্যের জন্য দেখুন সুরক্ষা . se ।

MD5 হ্যাশিং এবং অন্যান্য হ্যাশ পদ্ধতির জন্য এখানে আপনার দুটি লিঙ্ক রয়েছে:

জাভাদোক এপিআই: https://docs.oracle.com/javase/1.5.0/docs/api/java/security/MessageDigest.html

টিউটোরিয়াল: http://www.twmacinta.com/myjava/fast_md5.php

সমস্ত স্ট্যান্ডার্ড হ্যাশ স্কিমগুলির মধ্যে, এলডিএপি শশা ব্যবহারের জন্য সবচেয়ে সুরক্ষিত,

http://www.openldap.org/faq/data/cache/347.html

আমি কেবল সেখানে নির্দিষ্ট করা অ্যালগরিদমগুলি অনুসরণ করব এবং হ্যাশটি করতে বার্তাডিজাস্ট ব্যবহার করব।

আপনার পরামর্শ অনুযায়ী আপনার ডেটাবেজে লবণ সংরক্ষণ করতে হবে।

2020 সালের হিসাবে, ব্যবহারে সবচেয়ে বিশ্বাসযোগ্য এবং নমনীয় অ্যালগরিদম,

যে কোনও হার্ডওয়ারের ফলে তার শক্তিটিকে সর্বোত্তম করার সম্ভাবনা সবচেয়ে বেশি,

হয় Argon2id বা Argon2i ।

এটি একটি টার্গেট হ্যাশিংয়ের সময় এবং ব্যবহৃত হার্ডওয়্যার প্রদত্ত অনুকূলিতকরণের শক্তি পরামিতিগুলি সন্ধান করার জন্য প্রয়োজনীয় ক্রমাঙ্কন সরঞ্জাম সরবরাহ করে।

• আর্গন 2i মেমরি লোভী হ্যাশিংয়ে বিশেষীকরণ করেছে
• আরগন 2 ডি সিপিইউ লোভী হ্যাশিংয়ে বিশেষজ্ঞ
• Argon2id উভয় পদ্ধতি ব্যবহার করে।

স্মৃতি লোভী হ্যাশিং ক্র্যাকিংয়ের জন্য জিপিইউ ব্যবহারের বিরুদ্ধে সহায়তা করবে।

স্প্রিং সিকিউরিটি / বাউন্সি ক্যাসল বাস্তবায়ন অনুকূলিত হয় না এবং আক্রমণকারী কী ব্যবহার করতে পারে তা তুলনামূলকভাবে সপ্তাহে। সিএফ: বসন্তের ডকুমেন্টেশন

বর্তমানে প্রয়োগটি বাউন্সি দুর্গ ব্যবহার করে যা পাসওয়ার্ড ক্র্যাকাররা যে প্যারালালিজম / অপ্টিমাইজেশানগুলি কাজে লাগায় না তাই আক্রমণকারী এবং ডিফেন্ডারের মধ্যে অপ্রয়োজনীয় অসামঞ্জস্যতা রয়েছে।

জাভা ব্যবহারের জন্য সবচেয়ে বিশ্বাসযোগ্য বাস্তবায়ন হ'ল ম্যাকম্মেরারের এক,

মরচে লেখা সরকারী নেটিভ বাস্তবায়নের একটি মোড়কের জার / গ্রন্থাগার।

এটি ব্যবহারযোগ্যভাবে লিখিত এবং সহজ।

এম্বেড করা সংস্করণটি লিনাক্স, উইন্ডোজ এবং ওএসএক্সের জন্য দেশীয় বিল্ড সরবরাহ করে।

উদাহরণস্বরূপ, এটা তার মধ্যে jpmorganchase দ্বারা ব্যবহৃত হয় Tessera নিরাপদ করার জন্য ব্যবহৃত নিরাপত্তা প্রকল্পের কোরাম , তার Ethereum cryptocurency বাস্তবায়ন।

এখানে টেসেরা থেকে উদাহরণ কোড দেওয়া হয়েছে।

De.mkammerer.argon2 ব্যবহার করে ক্রমাঙ্কন সম্পাদন করা যেতে পারে rআর্গন 2 সহায়তা # সন্ধান

এসসিআরওয়াইপিটি এবং পিবিকেডিএফ 2 অ্যালগরিদমকে কিছু সাধারণ বেনমার্ক লিখেও ক্যালিব্রেট করা যেতে পারে তবে বর্তমান ন্যূনতম নিরাপদ পুনরাবৃত্তির মানগুলির জন্য উচ্চতর হ্যাশিং সময় প্রয়োজন হবে।

আমি উডেমির একটি ভিডিও থেকে ঝুঁকেছি এবং এলোমেলো পাসওয়ার্ডকে শক্তিশালী করতে সম্পাদনা করেছি

}

private String pass() {
        String passswet="1234567890zxcvbbnmasdfghjklop[iuytrtewq@#$%^&*" ;

        char icon1;
        char[] t=new char[20];

         int rand1=(int)(Math.random()*6)+38;//to make a random within the range of special characters

            icon1=passswet.charAt(rand1);//will produce char with a special character

        int i=0;
        while( i <11) {

             int rand=(int)(Math.random()*passswet.length());
             //notice (int) as the original value of Math>random() is double

             t[i] =passswet.charAt(rand);

             i++;
                t[10]=icon1;
//to replace the specified item with icon1
         }
        return new String(t);
}






}