建立一个安全的密码生成器

一个常见的误解是,攻击者破解哈希密码的唯一方法是使用蛮力攻击和彩虹表。虽然这通常是攻击序列中的第一道关口,但攻击者会在第二道、第三道或第四道关口使用更复杂的攻击。其他攻击包括组合、字典、掩码和基于规则的攻击。字典攻击是利用数据库中字面上的词来猜测密码。组合是将字典中的词组合起来。掩码攻击类似于蛮力,但选择性更强,从而缩短破解时间。基于规则的攻击会检测到诸如用数字0代替字母o的情况。

好消息是,只要将密码的长度增加到6个字符的神奇长度之外,就会成倍地增加破解哈希密码的时间。其他因素,如将大写字母与小写字母随机穿插、随机数字和特殊字符,也会对破解时间产生指数级影响。最后,我们需要牢记,人类最终需要输入创建的密码,这意味着需要至少有一定的记忆力。

{% hint style=”info” %} 最佳实践

密码应该以哈希值的形式存储,而不是纯文本。MD5和SHA不再被认为是安全的(尽管SHA比MD5好得多)。使用oclHashcat这样的工具,攻击者平均每秒可以对使用MD5散列的密码产生550亿次的尝试,而这个密码是通过漏洞(即成功的SQL注入攻击)获得的。 {% endhint %}

如何做…

1.首先,我们定义了一个Application\Security\PassGen类,它将持有密码生成所需的方法。我们还定义了某些类常量和属性,这些常量和属性将作为过程的一部分被使用。

  1. namespace Application\Security;
  2. class PassGen
  3. {
  4.   const SOURCE_SUFFIX = 'src';
  5.   const SPECIAL_CHARS = 
  6.     '\`¬|!"£$%^&*()_-+={}[]:@~;\'#<>?,./|\\';
  7.   protected $algorithm;
  8.   protected $sourceList;
  9.   protected $word;
  10.   protected $list;
  1. 然后我们定义了用于生成密码的低级方法。顾名思义,digits()产生的是随机数字,special()产生的是SPECIAL_CHARS类常量中的一个字符。
  1. public function digits($max = 999)
  2. {
  3.   return random_int(1, $max);
  4. }
  6. public function special()
  7. {
  8.   $maxSpecial = strlen(self::SPECIAL_CHARS) - 1;
  9.   return self::SPECIAL_CHARS[random_int(0, $maxSpecial)];
  10. }

{% hint style=”info” %} 请注意,我们在这个例子中经常使用新的 PHP 7 函数 random_int()。虽然速度稍慢,但与更古老的 rand() 函数相比,这个方法提供了真正的加密安全伪随机数生成器 (CSPRNG) 功能。 {% endhint %}

  1. 现在是棘手的部分:生成一个难以猜测的单词。这就是$wordSource构造函数参数发挥作用的地方。它是一个网站的数组,我们的词库将从这个数组中产生。相应地,我们需要一个方法,从指定的来源中提取一个唯一的单词列表,并将结果存储在一个文件中。我们接受$wordSource数组作为参数,并循环浏览每个URL。我们使用md5()产生一个网站名称的哈希值,然后将其建立为一个文件名。新生成的文件名将存储在$sourceList中。
  1. public function processSource(
  2. $wordSource, $minWordLength, $cacheDir)
  3. {
  4.   foreach ($wordSource as $html) {
  5.     $hashKey = md5($html);
  6.     $sourceFile = $cacheDir . '/' . $hashKey . '.' 
  7.     . self::SOURCE_SUFFIX;
  8.     $this->sourceList[] = $sourceFile;
  1. 如果文件不存在,或者是零字节,我们将处理其内容。如果源文件是HTML,我们只接受<body>标签内的内容。然后,我们使用str_word_count()从字符串中提取一个单词列表,同时使用strip_tags()来删除任何标记。
  1. if (!file_exists($sourceFile) || filesize($sourceFile) == 0) {
  2.     echo 'Processing: ' . $html . PHP_EOL;
  3.     $contents = file_get_contents($html);
  4.     if (preg_match('/<body>(.*)<\/body>/i', 
  5.         $contents, $matches)) {
  6.         $contents = $matches[1];
  7.     }
  8.     $list = str_word_count(strip_tags($contents), 1);
  1. 然后,我们删除太短的单词,并使用array_unique()去掉重复的单词。最后的结果存储在一个文件中。
  1.      foreach ($list as $key => $value) {
  2.        if (strlen($value) < $minWordLength) {
  3.          $list[$key] = 'xxxxxx';
  4.        } else {
  5.          $list[$key] = trim($value);
  6.        }
  7.      }
  8.      $list = array_unique($list);
  9.      file_put_contents($sourceFile, implode("\n",$list));
  10.    }
  11.   }
  12.   return TRUE;
  13. }
  1. 接下来,我们定义了一个将单词中的随机字母翻转为大写的方法。
  1. public function flipUpper($word)
  2. {
  3.   $maxLen   = strlen($word);
  4.   $numFlips = random_int(1, $maxLen - 1);
  5.   $flipped  = strtolower($word);
  6.   for ($x = 0; $x < $numFlips; $x++) {
  7.        $pos = random_int(0, $maxLen - 1);
  8.        $word[$pos] = strtoupper($word[$pos]);
  9.   }
  10.   return $word;
  11. }
  1. 最后,我们准备定义一个方法,从我们的词源中选择一个词。我们随机选择一个词源,然后使用file()函数从相应的缓存文件中读取。
  1. public function word()
  2. {
  3.   $wsKey    = random_int(0, count($this->sourceList) - 1);
  4.   $list     = file($this->sourceList[$wsKey]);
  5.   $maxList  = count($list) - 1;
  6.   $key      = random_int(0, $maxList);
  7.   $word     = $list[$key];
  8.   return $this->flipUpper($word);
  9. }
  1. 为了使我们不总是产生相同模式的密码,我们定义了一种方法,允许我们将密码的各个组成部分放在最终密码字符串的不同位置。算法被定义为这个类中可用的方法调用数组。因此,例如,['word','digits','word','special']的算法可能最终看起来像hElLo123aUTo!
  1. public function initAlgorithm()
  2. {
  3.   $this->algorithm = [
  4.     ['word', 'digits', 'word', 'special'],
  5.     ['digits', 'word', 'special', 'word'],
  6.     ['word', 'word', 'special', 'digits'],
  7.     ['special', 'word', 'special', 'digits'],
  8.     ['word', 'special', 'digits', 'word', 'special'],
  9.     ['special', 'word', 'special', 'digits', 
  10.     'special', 'word', 'special'],
  11.   ];
  12. }
  1. 构造函数接受字源数组、最小字长和缓存目录的位置。然后处理源文件并初始化算法。
  1. public function __construct(
  2.   array $wordSource, $minWordLength, $cacheDir)
  3. {
  4.   $this->processSource($wordSource, $minWordLength, $cacheDir);
  5.   $this->initAlgorithm();
  6. }
  1. 最后,我们能够定义实际生成密码的方法。它需要做的就是随机选择一个算法,然后循环,调用相应的方法。
  1. public function generate()
  2. {
  3.   $pwd = '';
  4.   $key = random_int(0, count($this->algorithm) - 1);
  5.   foreach ($this->algorithm[$key] as $method) {
  6.     $pwd .= $this->$method();
  7.   }
  8.   return str_replace("\n", '', $pwd);
  9. }
  11. }

如何运行…

首先,你需要把前面配方中描述的代码放到Application\Security文件夹中的一个名为PassGen.php的文件中。现在你可以创建一个名为chap_12_password_generate.php的调用程序,设置自动加载,使用PassGen,并定义缓存目录的位置。

  1. <?php
  2. define('CACHE_DIR', __DIR__ . '/cache');
  3. require __DIR__ . '/../Application/Autoload/Loader.php';
  4. Application\Autoload\Loader::init(__DIR__ . '/..');
  5. use Application\Security\PassGen;

接下来,您需要定义一系列的网站,这些网站将被用作生成密码时使用的词库的来源。在本例中,我们将选择Project Gutenberg文本Ulysses (J. Joyce), War and Peace (L. Tolstoy), 和Pride and Prejudice (J. Austen)。

  1. $source = [
  2.   'https://www.gutenberg.org/files/4300/4300-0.txt',
  3.   'https://www.gutenberg.org/files/2600/2600-h/2600-h.htm',
  4.   'https://www.gutenberg.org/files/1342/1342-h/1342-h.htm',
  5. ];

接下来,我们创建PassGen实例,并运行generate()

  1. $passGen = new PassGen($source, 4, CACHE_DIR);
  2. echo $passGen->generate();

下面是PassGen制作的几个密码示例。

建立一个安全的密码生成器 - 图1

更多…

一篇关于攻击者如何破解密码的优秀文章可以在http://arstechnica.com/security/2013/05/how-crackers-make-minced-meat-out-of-your-passwords/。要了解更多关于蛮力攻击的信息,可以参考https://www.owasp.org/index.php/Brute\_force\_attack。关于oclHashcat的信息,请看这个网页:http://hashcat.net/oclhashcat/。