网易的密码泄漏了,请问下 django 写的网站,在不泄漏 SECRET_KEY 的情况下,攻击者脱裤后有多大可能破解密码
QQ1685425675 · 2015-10-20 09:03:30 +08:00 · 3441 次点击这是一个创建于 3117 天前的主题,其中的信息可能已经有所发展或是发生改变。
SECRET_KEY 好像是用来加密的
如果这个东西不泄漏
数据库被人拖走了
那么 密码被破解的几率大吗
攻击者有什么办法 最大可能的尝试破解密码呢
第 1 条附言 · 2015-10-20 14:29:06 +08:00
结贴
感谢大家的回复
目前问题已经解决
我把大家的回复整理一下如下:
SECRET_KEY
并不参与密码本身的加密,该参数用来加密 cookie 的,但泄漏该值会带来 [远程代码执行] 参考 http://rickgray.me/2015/09/12/django-command-execution-analysis.html
django 本身的密码加密,是非常安全的, 用了随机盐 什么的 反正很复杂
参考 https://docs.djangoproject.com/en/dev/topics/auth/passwords/
感谢大家的回复
目前问题已经解决
我把大家的回复整理一下如下:
SECRET_KEY
并不参与密码本身的加密,该参数用来加密 cookie 的,但泄漏该值会带来 [远程代码执行] 参考 http://rickgray.me/2015/09/12/django-command-execution-analysis.html
django 本身的密码加密,是非常安全的, 用了随机盐 什么的 反正很复杂
参考 https://docs.djangoproject.com/en/dev/topics/auth/passwords/
22 条回复 • 2015-10-20 13:42:54 +08:00
 |
1
ryd994 2015-10-20 09:43:25 +08:00  1
SECRET_KEY 不就是一个固定的“盐”么
用了等于没用 |
 |
2
zander 2015-10-20 09:45:14 +08:00 via iPhone 1
没什么意义,要以最坏的打算来预估对方的算力。
|
 |
4
Zzzzzzzzz 2015-10-20 09:53:29 +08:00 1
SECRET_KEY 涉及的是 cookie 的加密, 和 auth 无关, auth 的密码是随机 hash 算法+随机 hash 次数+随机 salt
|
|
5
ryd994 2015-10-20 09:53:50 +08:00 1
@watzds
聪明一点的人就自己注册一个用户,从库里找到自己密码,然后穷举 SECRET_KEY 就行了 且不说网上是有常见密码的带盐字典的, 如果我没有记错, django 用的是 sha1 还是 md5 ,这两个都超快,临时暴力做个字典也是可以的 |
 |
6
QQ1685425675 OP @Zzzzzzzzz 哦哦谢谢 也就是说, django 的安全性还是很高的 对吗
|
 |
7
messense 2015-10-20 09:56:39 +08:00
@ryd994 By default, Django uses the PBKDF2 algorithm with a SHA256 hash
|
|
8
messense 2015-10-20 09:56:54 +08:00 1
|
 |
9
virusdefender 2015-10-20 09:58:35 +08:00 1
secret key 是加密 cookie 用的,如果这个泄露,可能造成远程代码执行。
django 的 密码的盐就在加密后的字符串里面,加密强度还是挺强的 |
|
10
virusdefender 2015-10-20 09:59:28 +08:00 1
|
 |
11
zhchbin 2015-10-20 10:05:05 +08:00 1
@QQ1685425675 数据库里存的东西安全性是由你决定的,框架并不会帮你干什么事。另外,框架也是可能存在漏洞,导致被黑的。 Google: site:wooyun.org django (看一下国内乌云论坛上的漏洞吧)
目前正确的存储用户密码哈希的姿势: https://crackstation.net/hashing-security.htm |
 |
13
watzds 2015-10-20 10:21:37 +08:00 via Android 1
|
|
14
ryd994 2015-10-20 10:42:50 +08:00 via Android 1
@watzds 所以我说如果 secret_key 做密码加密是药丸的
然而我至今不明白为啥楼主的 Django 加密密码会用到 secreat_key |
 |
15
dong3580 2015-10-20 10:46:45 +08:00 1
@QQ1685425675
随机,那么这些随机的参数你生成了之后,怎么再次校验? |
 |
16
caoyue 2015-10-20 10:56:33 +08:00 1
@dong3580
一般是用 algorithm$number of iterations$salt$password hash 的方式存数据库 |
 |
17
zhaoshanhe 2015-10-20 11:22:05 +08:00 1
首先脱裤一般都是带着盐的 而且有点良心的厂商都是随机盐。 脱下来的数据要破解基本都是彩虹表。
|
|
18
QQ1685425675 OP @dong3580 随机的参数 也是存起来的吧, 可以校验,只是很难(基本不可能)逆向
|
 |
19
MrGba2z 2015-10-20 12:11:30 +08:00 via iPhone 1
secret key 和数据库无关吧…
那不是用于 session 和 cookie 里的么 |
 |
20
wibile 2015-10-20 12:47:35 +08:00 1
知之为知之不知为不知,不知还强答,在下服了。。。
|
 |
22
wy315700 2015-10-20 13:42:54 +08:00 1
要落到 NSA 手里, AES256 都没用
|
Select Language