dropbox 保存密碼的安全措施筆記

Posted on Sat 24 September 2016 in note • Tagged with dropbox, security, password

Dropbox 寫了一篇文章來告訴大家他們如何安全地保存用戶的密碼。我認為蠻有趣的,有一些是我沒有接觸過的。

保存密碼的方式

簡單用一行來寫

AES256(bcrypt(SHA512(PASSWORD)))
  • AES256 加密用的是另外存的金鑰 (global pepper),每個用戶都一樣。
  • bcrypt 做 hash 的 salt 是每個使用者分開的,強度是 10
    • 這是引起我細讀的地方

bcrypt 是什麼

bcrypt是基於Blowfish所發展出來的 hash function。因為有 salt 的關係,所以可以對抗 rainbow table 的攻擊。

同時,bcrypt 的 cost (上面寫的強度)會以 2 的 cost …


Continue reading