এই কোডটিতে লবণের সাথে একটি পাসওয়ার্ড হ্যাশ করার কথা। লবণ এবং হ্যাশ পাসওয়ার্ড ডাটাবেসে সংরক্ষণ করা হচ্ছে। পাসওয়ার্ড নিজেই হয় না।
অপারেশনের সংবেদনশীল প্রকৃতির প্রবণতা দেখে আমি নিশ্চিত করতে চেয়েছিলাম যে সমস্ত কিছু কোশার ছিল।
import hashlib
import base64
import uuid
password = 'test_password'
salt = base64.urlsafe_b64encode(uuid.uuid4().bytes)
t_sha = hashlib.sha512()
t_sha.update(password+salt)
hashed_password = base64.urlsafe_b64encode(t_sha.digest())
secretsপরিবর্তে এটি ব্যবহার করার জন্য কিছুই ব্যয় করে না ।
উত্তর:
সম্পাদনা: এই উত্তরটি ভুল। SHA512 এর একক পুনরাবৃত্তি দ্রুত , যা এটি পাসওয়ার্ড হ্যাশিং ফাংশন হিসাবে ব্যবহারের জন্য অনুপযুক্ত করে তোলে। পরিবর্তে এখানে অন্য একটি উত্তর ব্যবহার করুন।
আমার ভাল লাগছে। তবে আমি নিশ্চিত যে আপনার আসলে বেস 64 এর দরকার নেই। আপনি কেবল এটি করতে পারেন:
import hashlib, uuid
salt = uuid.uuid4().hex
hashed_password = hashlib.sha512(password + salt).hexdigest()
যদি এটি অসুবিধা না সৃষ্টি করে তবে আপনি হেক্স স্ট্রিংয়ের পরিবর্তে কাঁচা বাইট হিসাবে লবণ এবং হ্যাশ পাসওয়ার্ড সংরক্ষণ করে আপনার ডেটাবেজে কিছুটা দক্ষ স্টোরেজ পেতে পারেন। এটি করার জন্য, hexসাথে bytesএবং hexdigestসাথে প্রতিস্থাপন করুন digest।
saltহয় ডেটাবেজে এবং লবণের হ্যাশ পাসওয়ার্ডেও সংরক্ষণ করা আছে।
এই প্রশ্নের অন্যান্য উত্তরের উপর ভিত্তি করে, আমি bcrypt ব্যবহার করে একটি নতুন পদ্ধতির প্রয়োগ করেছি।
যদি আমি সঠিকভাবে বুঝতে যুক্তি ব্যবহার করতে bcryptবেশি SHA512যে bcryptধীর হতে ডিজাইন করা হয়েছে। bcryptপ্রথমবারের জন্য হ্যাশ পাসওয়ার্ড তৈরি করার সময় আপনি কতটা ধীর হতে চান তা সামঞ্জস্য করার একটি বিকল্প রয়েছে:
# The '12' is the number that dictates the 'slowness'
bcrypt.hashpw(password, bcrypt.gensalt( 12 ))
ধীরে ধীরে আকাঙ্ক্ষিত কারণ কারণ যদি কোনও দূষিত দল হ্যাশ পাসওয়ার্ডযুক্ত টেবিলে তাদের হাত পেতে থাকে তবে তাদের জোর করে চালানো আরও বেশি কঠিন।
def get_hashed_password(plain_text_password):
# Hash a password for the first time
# (Using bcrypt, the salt is saved into the hash itself)
return bcrypt.hashpw(plain_text_password, bcrypt.gensalt())
def check_password(plain_text_password, hashed_password):
# Check hashed password. Using bcrypt, the salt is saved into the hash itself
return bcrypt.checkpw(plain_text_password, hashed_password)
লিনাক্স সিস্টেমে আমি খুব সহজে লাইব্রেরিটি ইনস্টল করতে সক্ষম হয়েছি:
pip install py-bcrypt
তবে আমার উইন্ডোজ সিস্টেমে এটি ইনস্টল করতে আমার আরও সমস্যা হয়েছিল। এটি একটি প্যাচ প্রয়োজন বলে মনে হচ্ছে। এই স্ট্যাক ওভারফ্লো প্রশ্নটি দেখুন: উইন 7 64 বিট পাইথন ইনস্টল করে পাই-বিক্রিপ্ট
py-bcryptহচ্ছে এটি পুরানো পাইপাই প্যাকেজ এবং এর পরে নামকরণ করা হয়েছে bcrypt।
স্মার্ট জিনিসটি হ'ল নিজে ক্রিপ্টো লেখার জন্য নয় বরং পাসলিবের মতো কিছু ব্যবহার করার জন্য: https://bitbucket.org/ecollins/passlib/wiki/Home
আপনার ক্রিপ্টো কোডটি সুরক্ষিত উপায়ে লিখে ফেলতে সহজ। বাজে জিনিসটি হ'ল নন ক্রিপ্টো কোড সহ আপনি যখনই আপনার প্রোগ্রামটি ক্র্যাশ হয়ে যাচ্ছেন তখন এটি কাজ না করে আপনি প্রায়শই তাৎক্ষণিকভাবে তা লক্ষ্য করেন। ক্রিপ্টো কোড সহ আপনি প্রায়ই এটি কেবল দেরি হওয়ার পরে খুঁজে পান এবং আপনার ডেটা আপোস করা হওয়ার পরে। এর জন্য আমি মনে করি যে এই বিষয় সম্পর্কে জ্ঞাতযোগ্য এবং যুদ্ধ পরীক্ষিত প্রোটোকলের উপর ভিত্তি করে অন্য কারও দ্বারা লিখিত প্যাকেজ ব্যবহার করা ভাল।
পাসলিবিতে কিছু দুর্দান্ত বৈশিষ্ট্য রয়েছে যা পুরানো প্রোটোকলটি ভেঙে বেরিয়ে আসে যদি নতুন পাসওয়ার্ড হ্যাশিং প্রোটোকলটি এটি ব্যবহার করা সহজ করে তোলে এবং আপগ্রেড করাও সহজ করে তোলে।
এছাড়াও sha512 এর একটি মাত্র রাউন্ড অভিধান আক্রমণে বেশি ঝুঁকিপূর্ণ। sha512 দ্রুত হওয়ার জন্য ডিজাইন করা হয়েছে এবং পাসওয়ার্ডগুলি নিরাপদে সংরক্ষণের চেষ্টা করার সময় এটি আসলে একটি খারাপ জিনিস। অন্যান্য ব্যক্তিরা এই ধরণের সমস্ত সমস্যা সম্পর্কে দীর্ঘ এবং কঠোর চিন্তা করেছে তাই আপনি আরও ভালভাবে এটির সুবিধা নিন।
hashlibক্রিপ্টোগ্রাফিক হ্যাশ ফাংশনগুলির জন্য for passlibনিরাপদে পাসওয়ার্ড সংরক্ষণের জন্য। এগুলি একই জিনিস নয় (যদিও অনেক লোক মনে হয় এমনটি মনে হয় .. এবং তারপরে তাদের ব্যবহারকারীর পাসওয়ার্ড ক্র্যাক হয়ে যায়)।
passlibতার নিজস্ব লবণ তৈরি করে, যা প্রত্যাবর্তিত হ্যাশ স্ট্রিংয়ে অন্তত সঞ্চিত হয় (কমপক্ষে বিসিক্রিপ্ট + এসএএএল 256 এর মতো নির্দিষ্ট স্কিমগুলির জন্য ) - সুতরাং আপনাকে এটি নিয়ে চিন্তা করার দরকার নেই।
পাইথন 3 এ কাজ করার জন্য আপনাকে ইউটিএফ -8 এনকোড লাগাতে হবে:
hashed_password = hashlib.sha512(password.encode('utf-8') + salt.encode('utf-8')).hexdigest()
অন্যথায় আপনি পাবেন:
ট্রেসব্যাক ( সর্বশেষতম কল শেষ):
ফাইল "", লাইন 1,
হ্যাশডপ্যাসওয়ার্ডে = hashlib.sha512 (পাসওয়ার্ড + লবন) .হেক্সডিজাস্ট () প্রকারের ত্রুটি
: হ্যাশিংয়ের আগে ইউনিকোড-অবজেক্টগুলি এনকোড করতে হবে
পাইথন ৩.৪ অনুসারে, hashlibস্ট্যান্ডার্ড লাইব্রেরির মডিউলটিতে কী ডেরাইভেশন ফাংশন রয়েছে যা "সুরক্ষিত পাসওয়ার্ড হ্যাশিংয়ের জন্য ডিজাইন করা হয়েছে" ।
সুতরাং এর মধ্যে একটির মতো ব্যবহার করুন যেমন hashlib.pbkdf2_hmacলবণ ব্যবহার করে উত্পন্ন os.urandom:
from typing import Tuple
import os
import hashlib
import hmac
def hash_new_password(password: str) -> Tuple[bytes, bytes]:
"""
Hash the provided password with a randomly-generated salt and return the
salt and hash to store in the database.
"""
salt = os.urandom(16)
pw_hash = hashlib.pbkdf2_hmac('sha256', password.encode(), salt, 100000)
return salt, pw_hash
def is_correct_password(salt: bytes, pw_hash: bytes, password: str) -> bool:
"""
Given a previously-stored salt and hash, and a password provided by a user
trying to log in, check whether the password is correct.
"""
return hmac.compare_digest(
pw_hash,
hashlib.pbkdf2_hmac('sha256', password.encode(), salt, 100000)
)
# Example usage:
salt, pw_hash = hash_new_password('correct horse battery staple')
assert is_correct_password(salt, pw_hash, 'correct horse battery staple')
assert not is_correct_password(salt, pw_hash, 'Tr0ub4dor&3')
assert not is_correct_password(salt, pw_hash, 'rosebud')
মনে রাখবেন যে:
os.urandom সর্বদা এলোমেলোতার একটি ক্রিপ্টোগ্রাফিক নিরাপদ উত্স ব্যবহার করেhmac.compare_digestব্যবহৃত is_correct_password, এটি মূলত কেবল ==স্ট্রিংগুলির জন্য অপারেটর তবে শর্ট সার্কিটের ক্ষমতা ছাড়াই, যা এটি টাইমিং আক্রমণে প্রতিরোধক করে তোলে। এটি সম্ভবত কোনও অতিরিক্ত সুরক্ষা মান সরবরাহ করে না তবে এটির কোনও ক্ষতি হয় না, তাই আমি এগিয়ে গিয়ে ব্যবহার করেছি।কী কারণে একটি ভাল পাসওয়ার্ড হ্যাশ তৈরি হয় এবং অন্যান্য পাসওয়ার্ডগুলির সাথে পাসওয়ার্ডগুলি হ্যাশ করার জন্য উপযুক্ত অন্যান্য কার্যগুলির তালিকা তৈরি করার তত্ত্বের জন্য, https://security.stackexchange.com/q/211/29805 দেখুন ।
Passlib দরকারী মনে হয় যদি আপনার কোনও বিদ্যমান সিস্টেমের দ্বারা সঞ্চিত হ্যাশগুলি ব্যবহার করার প্রয়োজন হয়। আপনার যদি ফর্ম্যাটের নিয়ন্ত্রণ থাকে তবে একটি আধুনিক হ্যাশ ব্যবহার করুন যেমন ব্রিসিপ বা স্ক্রিপ্ট। এই মুহুর্তে, অজগর থেকে বিক্রিপ্ট ব্যবহার করা অনেক সহজ বলে মনে হচ্ছে।
পাসলিব bcrypt সমর্থন করে এবং এটি পি-বিক্রিপটকে ব্যাকএন্ড হিসাবে ইনস্টল করার পরামর্শ দেয়: http://pythonhosted.org/passlib/lib/passlib.hash.bcrypt.html
এছাড়াও আপনি ব্যবহার করতে পারে PY-bcrypt আপনি passlib ইনস্টল করতে না চান সরাসরি। রিডমেতে বেসিক ব্যবহারের উদাহরণ রয়েছে।
আরও দেখুন: পাইথনে পাসওয়ার্ড এবং লবণের জন্য হ্যাশ উত্পন্ন করতে স্ক্রিপ্টটি কীভাবে ব্যবহার করবেন
আমি কোনও পুরানো থ্রেডটি পুনরুত্থিত করতে চাই না, তবে ... যে কেউ আধুনিক আপ টু ডেট সুরক্ষিত সমাধান ব্যবহার করতে চায়, তিনি আর্গন 2 ব্যবহার করুন।
https://pypi.python.org/pypi/argon2_cffi
এটি পাসওয়ার্ড হ্যাশিং প্রতিযোগিতা জিতেছে। ( https://password-hashing.net/ ) বিসিক্রিপ্টের চেয়ে এটি ব্যবহার করা সহজ, এবং এটি বিক্রিপ্টের চেয়ে বেশি সুরক্ষিত।
প্রথমত আমদানি করুন: -
import hashlib, uuid
তারপরে আপনার পদ্ধতিতে এটি অনুসারে আপনার কোডটি পরিবর্তন করুন:
uname = request.form["uname"]
pwd=request.form["pwd"]
salt = hashlib.md5(pwd.encode())
তারপরে এই লবণটি পাস করুন এবং আপনার ডাটাবেস স্ক্যাল ক্যোয়ারিতে অবিচ্ছিন্ন করুন, নীচে লগইনটির একটি সারণির নাম রয়েছে:
sql = "insert into login values ('"+uname+"','"+email+"','"+salt.hexdigest()+"')"
t_sha.digest() + salt। আপনি লবণযুক্ত হ্যাশ পাসওয়ার্ডটি ডিকোড করার পরে লবণটি আবার বিভক্ত করতে পারেন কারণ আপনি জানেন যে ডিকোডড হ্যাশ পাসওয়ার্ডটি হুবহু 32 বাইট।