网易的密码泄漏了,请问下 django 写的网站,在不泄漏 SECRET_KEY 的情况下,攻击者脱裤后有多大可能破解密码

2015-10-20 09:03:30 +08:00
 QQ1685425675

SECRET_KEY 好像是用来加密的

如果这个东西不泄漏

数据库被人拖走了

那么 密码被破解的几率大吗

攻击者有什么办法 最大可能的尝试破解密码呢

3637 次点击
所在节点    问与答
22 条回复
ryd994
2015-10-20 09:43:25 +08:00
SECRET_KEY 不就是一个固定的“盐”么
用了等于没用
zander
2015-10-20 09:45:14 +08:00
没什么意义,要以最坏的打算来预估对方的算力。
watzds
2015-10-20 09:51:08 +08:00
@ryd994
有了这个盐值,相当于密码很复杂,普通的字典还能查到破解吗
Zzzzzzzzz
2015-10-20 09:53:29 +08:00
SECRET_KEY 涉及的是 cookie 的加密, 和 auth 无关, auth 的密码是随机 hash 算法+随机 hash 次数+随机 salt
ryd994
2015-10-20 09:53:50 +08:00
@watzds
聪明一点的人就自己注册一个用户,从库里找到自己密码,然后穷举 SECRET_KEY 就行了
且不说网上是有常见密码的带盐字典的,
如果我没有记错, django 用的是 sha1 还是 md5 ,这两个都超快,临时暴力做个字典也是可以的
QQ1685425675
2015-10-20 09:55:55 +08:00
@Zzzzzzzzz 哦哦谢谢 也就是说, django 的安全性还是很高的 对吗
messense
2015-10-20 09:56:39 +08:00
@ryd994 By default, Django uses the PBKDF2 algorithm with a SHA256 hash
messense
2015-10-20 09:56:54 +08:00
virusdefender
2015-10-20 09:58:35 +08:00
secret key 是加密 cookie 用的,如果这个泄露,可能造成远程代码执行。

django 的 密码的盐就在加密后的字符串里面,加密强度还是挺强的
virusdefender
2015-10-20 09:59:28 +08:00
zhchbin
2015-10-20 10:05:05 +08:00
@QQ1685425675 数据库里存的东西安全性是由你决定的,框架并不会帮你干什么事。另外,框架也是可能存在漏洞,导致被黑的。 Google: site:wooyun.org django (看一下国内乌云论坛上的漏洞吧)

目前正确的存储用户密码哈希的姿势: https://crackstation.net/hashing-security.htm
glasslion
2015-10-20 10:15:43 +08:00
@ryd994 别搞笑了, django 什么时候用过 sha1, md5 做 salt 了?
watzds
2015-10-20 10:21:37 +08:00
@ryd994 似乎随机盐值还挺有效的

另外,这篇乌云的文章不错, http://drops.wooyun.org/papers/1066
ryd994
2015-10-20 10:42:50 +08:00
@watzds 所以我说如果 secret_key 做密码加密是药丸的
然而我至今不明白为啥楼主的 Django 加密密码会用到 secreat_key
dong3580
2015-10-20 10:46:45 +08:00
@QQ1685425675
随机,那么这些随机的参数你生成了之后,怎么再次校验?
caoyue
2015-10-20 10:56:33 +08:00
@dong3580
一般是用 algorithm$number of iterations$salt$password hash 的方式存数据库
zhaoshanhe
2015-10-20 11:22:05 +08:00
首先脱裤一般都是带着盐的 而且有点良心的厂商都是随机盐。 脱下来的数据要破解基本都是彩虹表。
QQ1685425675
2015-10-20 12:08:53 +08:00
@dong3580 随机的参数 也是存起来的吧, 可以校验,只是很难(基本不可能)逆向
MrGba2z
2015-10-20 12:11:30 +08:00
secret key 和数据库无关吧…
那不是用于 session 和 cookie 里的么
wibile
2015-10-20 12:47:35 +08:00
知之为知之不知为不知,不知还强答,在下服了。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/229411

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX