Сравните два BCRYPT-пароля для одного источника

Question

Сравните два BCRYPT-пароля для одного источника

Я использую BCRYPT для хэширования паролей наших пользователей в базе данных, и поскольку соединение с клиентом не всегда может быть безопасным, я хочу воздержаться от отправки его на сервер в виде простого текста при аутентификации. Мы используем реализацию Java / Spring BCRYPT.

Есть ли способ сравнить два хэша для одного источника?
Если нет (что, вероятно, имеет место): как лучше обойти аналогичный уровень безопасности?

Спасибо за ваши предложения.

2

java bcrypt

Источник

user1463320 16 сен '14 в 10:24

2 ответа

Другие вопросы по тегам java bcrypt

user279604 18 сен '14 в 04:03 2014-09-18 04:03 · Answer 1 · 2014-09-18 04:03

Ты не можешь

BCrypt - это односторонняя функция. Вы можете запустить bcrypt("password") дважды и оба раза вы получите разные результаты, и нет никакого способа узнать, что эти два хэша предназначены для одного и того же пароля.

Это функция безопасности, а не ошибка.

Вместо того, чтобы пытаться использовать этот подход, вместо этого вам следует сосредоточиться на защите канала связи с помощью реализации SSL и, возможно, HSTS.

user3961271 16 сен '14 в 16:49 2014-09-16 16:49 · Answer 2 · 2014-09-16 16:49

Вам нужно будет настроить шифрование с открытым / закрытым ключом через RSA, как это используется в SSL. Концепция такова: у сервера есть открытый ключ, который может запросить любой клиент. Клиент использует этот открытый ключ для шифрования информации перед ее отправкой на сервер. Сервер использует свой закрытый ключ для дешифрования информации (а затем повторно зашифровывает ее с помощью вашей хэш-функции bcrypt).

RSA разработан для упрощения этой парадигмы: информация может быть свободно зашифрована с помощью открытого ключа, но открытый ключ не способен расшифровать. Только закрытый ключ может быть использован для расшифровки.

Также, вероятно, хорошей идеей будет подсчитать временную метку перед шифрованием на стороне клиента для увеличения энтропии.