如何使用 PBKDF2 在 Java 中安全地散列密碼？

如何安全地散列密碼進行儲存

以明文形式儲存密碼會帶來重大的安全風險。為了保護敏感數據，在儲存密碼之前對其進行雜湊處理至關重要。此過程涉及將明文密碼轉換為固定大小的加密格式，該格式不可逆且破解的計算成本很高。 Java 為密碼雜湊提供了強大的工具，確保了使用者憑證的安全性。

使用PBKDF2 進行安全密碼雜湊

Java 6 中的SunJCE 庫引入了PBKDF2（密碼-基於密鑰派生函數2)，這是一種行業標準的密碼雜湊演算法。它旨在透過結合隨機鹽和高計算成本來防止暴力攻擊和彩虹表攻擊。

使用 PBKDF2 實作密碼雜湊

1. 建立鹽：產生隨機鹽以防止使用預先計算的彩虹表。
2. 對密碼進行雜湊處理：利用 PBKDF2 演算法從密碼和鹽中導出雜湊值。
3. 儲存雜湊密碼：將鹽和雜湊密碼安全地保存在資料庫中。

驗證登入期間的密碼

使用者登入時in:

1. 擷取鹽：取得與使用者帳戶相關聯的鹽。
2. 對提交的密碼進行雜湊處理：使用檢索到的鹽計算提交密碼的雜湊值。
3. 比較雜湊值：檢查計算的雜湊值是否與儲存的雜湊密碼相符。如果匹配，則密碼正確。

密碼雜湊範例程式碼

import java.security.NoSuchAlgorithmException;
import java.security.SecureRandom;
import java.security.spec.InvalidKeySpecException;
import java.security.spec.KeySpec;
import java.util.Arrays;
import java.util.Base64;
import java.util.regex.Matcher;
import java.util.regex.Pattern;

import javax.crypto.SecretKeyFactory;
import javax.crypto.spec.PBEKeySpec;

public class PasswordAuthentication {

  public String hash(char[] password) {
    byte[] salt = new byte[SIZE / 8];
    random.nextBytes(salt);
    byte[] dk = pbkdf2(password, salt, 1 << cost);
    byte[] hash = new byte[salt.length + dk.length];
    System.arraycopy(salt, 0, hash, 0, salt.length);
    System.arraycopy(dk, 0, hash, salt.length, dk.length);
    return ID + cost + '$' + enc.encodeToString(hash);
  }

  public boolean authenticate(char[] password, String token) {
    Matcher m = layout.matcher(token);
    if (!m.matches())
      throw new IllegalArgumentException("Invalid token format");
    int iterations = iterations(Integer.parseInt(m.group(1)));
    byte[] hash = Base64.getUrlDecoder().decode(m.group(2));
    byte[] salt = Arrays.copyOfRange(hash, 0, SIZE / 8);
    byte[] check = pbkdf2(password, salt, iterations);
    int zero = 0;
    for (int idx = 0; idx < check.length; ++idx)
      zero |= hash[salt.length + idx] ^ check[idx];
    return zero == 0;
  }

  private byte[] pbkdf2(char[] password, byte[] salt, int iterations) {
    KeySpec spec = new PBEKeySpec(password, salt, iterations, SIZE);
    try {
      SecretKeyFactory f = SecretKeyFactory.getInstance(ALGORITHM);
      return f.generateSecret(spec).getEncoded();
    }
    catch (NoSuchAlgorithmException ex) {
      throw new IllegalStateException("Missing algorithm: " + ALGORITHM, ex);
    }
    catch (InvalidKeySpecException ex) {
      throw new IllegalStateException("Invalid SecretKeyFactory", ex);
    }
  }
}

結論

使用PBKDF2 來處理密碼是保護用戶資料的重要安全措施。透過實施強大的密碼哈希，開發人員可以顯著增強其應用程式的安全性並最大限度地降低資料外洩的風險。

以上是如何使用 PBKDF2 在 Java 中安全地散列密碼？的詳細內容。更多資訊請關注PHP中文網其他相關文章！