我希望使用用户输入的字符串生成密码,我正在阅读的图书建议使用sha而不是md5,因为它被认为更强。
sha但已被弃用,我现在正在使用hashlib模块以类似于此处所示的方式加密字符串:http://docs.python.org/py3k/library/hashlib.html#module-hashlib。
import os
import hashlib
from getpass import getpass
print('Username: ' + os.environ['USER'])
passwd = getpass('Password: ')
h = hashlib.md5()
h.update(passwd.encode())
passwd_encrypt = h.hexdigest()
然后我将passwd_encrypt与包含用户名和加密密码列表的普通ascii文件进行比较,如下所示:
THO 5f4dcc3b5aa765d61d8327deb882cf99
这是一种加密密码的合适技术还是有更好的方法?我也对以这种方式存储密码是否合适以及可能的替代方案感兴趣。
谢谢
答案 0 :(得分:7)
没有“sha”算法。 sha1算法比md5强得多,因为md5完全被破坏了。我相信有一种算法需要微秒才能产生碰撞。
Sha1已经被密码分析师大大削弱了,并且正在寻找下一件大事,但它目前仍适用于除了最偏执的所有人。
关于它们在密码中的使用,目的是防止发现原始密码。因此,md5冲突生成起来并不重要,因为冲突只会产生一个与原始密码具有相同md5哈希值的备用密码,但它不会显示原始密码。
您的版本缺少一个重要组件:盐。这是一个随机字符串,它连接到原始密码以生成散列,然后连接到散列本身以进行存储。目的是确保具有相同密码的用户不会以相同的存储哈希结束。
import random
print('Username: ' + os.environ['USER'])
passwd = getpass('Password: ')
salt = ''.join(random.choice('BCDFGHJKLMNPQRSTVWXYZ') for range(4))
h = hashlib.md5()
h.update(salt)
h.update(passwd.encode())
passwd_encrypt = salt + h.hexdigest()
然后重新使用存储的盐验证密码:
passwd = getpass('Password: ')
salt = passwd_encrypt[:4]
h = hashlib.md5()
h.update(salt)
h.update(passwd.encode())
if passwd_encrypt != salt + h.hexdigest():
raise LoginFailed()
答案 1 :(得分:-1)
将密码的哈希值与保存的哈希值进行比较是一种合适的身份验证方法。