我不得不慘痛地寫在前面的是，這是一個(gè)安全崩盤的時(shí)代。過(guò)去一年，已經(jīng)證實(shí)的遭遇入侵、并導(dǎo)致關(guān)鍵數(shù)據(jù)被竊或者被泄露的公司，包括索尼、世嘉這樣的大型游戲設(shè)備廠商；包括花旗銀行這樣的金融機(jī)構(gòu)，也包括了RSA這樣的安全廠商。

這些事件中最令業(yè)界瞠目的是RSA被入侵，這直接導(dǎo)致多家工業(yè)巨頭遭遇連鎖的攻擊，很多安全企業(yè)本身也使用RSA的令牌。比RSA弱小很多的荷蘭電子認(rèn)證公司DigiNotar已經(jīng)在被入侵后，宣告破產(chǎn)。

就在2011年上半年，我們還是站在旁觀者的立場(chǎng)討論這些事情。但隨即我們就遭遇了CSDN、多玩和天涯等等的數(shù)據(jù)泄露，其中最為敏感的，一方面是用戶信息，另一個(gè)當(dāng)然就是用戶口令。由于身份實(shí)名、口令通用等情況影響，一時(shí)間人人自危。各個(gè)站點(diǎn)也陷在口水當(dāng)中。

但實(shí)際上根據(jù)推斷，這些入侵都是一些過(guò)去時(shí)，也就是說(shuō)這些庫(kù)早就在地下流傳。同時(shí)流出，也許就是一個(gè)集體性的心理效應(yīng)。

這種針對(duì)數(shù)據(jù)庫(kù)記錄的竊取，被一些攻擊者稱為“拖庫(kù)“，于是有了一個(gè)自然而諧音的戲稱“脫褲”。只是攻擊者日趨不厚道，從前只是偷了人家的褲子，現(xiàn)在還要晾在大街上，并貼上布告說(shuō)，“看，丫褲子上還有補(bǔ)丁呢”。

如果拖庫(kù)是很難避免的，那么采用合理的加密策略，讓攻擊者拿到庫(kù)后的影響降低到更小就是必要的。

明文存放口令的時(shí)代肯定是要結(jié)束了，但加密就安全么？

那些錯(cuò)誤的加密策略

明文的密碼固然是不能接受的，但錯(cuò)誤的加密策略同樣很糟糕。讓我們看看下列情況。

簡(jiǎn)單使用標(biāo)準(zhǔn)HASH

我想起了一個(gè)90年代黑客笑話，有人進(jìn)入一臺(tái)UNIX主機(jī)，抓到了一個(gè)shadow文檔，但破解不了。于是，他用自己的機(jī)器做了一個(gè)假的現(xiàn)場(chǎng)，故意留下這個(gè)shadow，最后看看別人用什么口令來(lái)試，最后再用這些口令與滲透原來(lái)的主機(jī)。遺憾的是，那時(shí)我們都把這個(gè)當(dāng)成一個(gè)Joke，充其量回復(fù)一句“I服了you!“，而沒(méi)有反思使用標(biāo)準(zhǔn)算法的問(wèn)題。

目前來(lái)看，在口令保存上，使用最為廣泛的算法是標(biāo)準(zhǔn)MD5HASH。但實(shí)際上，很長(zhǎng)時(shí)間，我們都忽略了HASH設(shè)計(jì)的初衷并不是用來(lái)加密，而是用來(lái)驗(yàn)證。系統(tǒng)設(shè)計(jì)者是因?yàn)镠ASH算法具有不可逆的特點(diǎn)所以“借”用其保存密碼的。但其不可逆的前提假設(shè)，是明文集合是無(wú)限大的。但放到口令并不一樣，口令的長(zhǎng)度是受限的，同時(shí)其可使用的字符也是受限的。我們可以把口令的總數(shù)看正一個(gè)事實(shí)上的有限集（很難想象有人用100個(gè)字符作為口令）。

比如一個(gè)人的密碼是“123456”，那么任何采用標(biāo)準(zhǔn)MD5加密的網(wǎng)站數(shù)據(jù)庫(kù)中，其存放的都是這樣一個(gè)MD5值：E10ADC3949BA59ABBE56E057F20F883E

由于密文均相同，加之HASH算法是單向的，因此攻擊者較早使用的方法就是“密文比對(duì)+高頻統(tǒng)計(jì)“后生成密文字典來(lái)攻擊，由于絕大多數(shù)網(wǎng)站和系統(tǒng)的加密實(shí)現(xiàn)，都是相同明文口令生成相同的密文，因此，那些有高頻密文的用戶就可能是使用高頻明文口令的用戶。攻擊者一方面可以針對(duì)標(biāo)準(zhǔn)算法來(lái)制定高頻明文的對(duì)應(yīng)密文檔來(lái)查詢，另一方面，對(duì)于那些非標(biāo)準(zhǔn)算法，高頻統(tǒng)計(jì)攻擊的方法也非常常見(jiàn)。

但查表攻擊迅速壓倒高頻統(tǒng)計(jì)的原因，正是從2000年開始陸續(xù)有網(wǎng)站規(guī)模性明文口令泄漏事件開始的。在過(guò)去每一次明文的密碼泄漏事件，攻擊者都會(huì)把使用MD5、SHA1等常見(jiàn)HASH算法加工成的口令與那些采用HASH值來(lái)保存的庫(kù)進(jìn)行應(yīng)對(duì)。

隨著超算資源的廉價(jià)、GPU的普及、存儲(chǔ)能力的增長(zhǎng)，一個(gè)不容忽視的威脅開始躍上桌面，那就是，這些巨大的HASH表已經(jīng)不僅僅是基于泄漏的密碼和常見(jiàn)字符串字典來(lái)制作，很多攻擊者通過(guò)長(zhǎng)期的分工協(xié)作，通過(guò)窮舉的方式來(lái)制作一定位數(shù)以下的數(shù)字字母組合的口令串與多種算法加密結(jié)果的映射結(jié)果集，這些結(jié)果集從百GB到幾十TB，這就是傳說(shuō)中的彩虹表。

HASH的單向性優(yōu)勢(shì)在此已經(jīng)只有理論意義，因?yàn)镠ASH的單向性是靠算法設(shè)計(jì)保證的，使用一個(gè)有限集來(lái)表示一個(gè)無(wú)限集，其必然是不可逆的。但攻擊者是從查表來(lái)完成從HASH到口令明文的還原的。因此其算法的單向性也就失去了意義。

聯(lián)合使用HASH

一些人誤以為，HASH不夠安全是因?yàn)镠ASH算法的強(qiáng)度問(wèn)題，因此把MD5或者SHA1聯(lián)合使用，其實(shí)這是毫無(wú)價(jià)值的（只是徒耗了存儲(chǔ)資源）。如上面所說(shuō)，HASH的不安全性在于大量口令與其HASH值的對(duì)應(yīng)關(guān)系早已經(jīng)被制作成彩虹表。只要你聯(lián)合使用HASH的算法其中之一在彩虹表中，自然就可以查到了。

同理，那種采用“MD5的頭+SHA的尾“之類的，或者采用其他的混合兩個(gè)值的方法，也一樣是沒(méi)有意義的。因?yàn)楣粽呖梢院苋菀椎挠^察到這種組合方法的規(guī)律，經(jīng)過(guò)拆解后繼續(xù)按照查表法破解。

自己設(shè)計(jì)算法

我一向認(rèn)為，既然我們不是一個(gè)密碼學(xué)家，而是工程師、程序員，那么放著現(xiàn)成的好東西不用，自己開發(fā)加密算法是相當(dāng)愚蠢的事情。我相信很多程序員都遇到過(guò)挖空心思想到了一個(gè)“新算法”，然后發(fā)現(xiàn)早在某篇20世紀(jì)80年代的數(shù)學(xué)論文里，早就提出了相關(guān)算法的情況。

況且在開源時(shí)代，很多算法不僅被實(shí)現(xiàn)和發(fā)布了，而且還經(jīng)歷了長(zhǎng)期的使用推敲。這些都是自己設(shè)計(jì)、自己實(shí)現(xiàn)無(wú)法比擬的。

關(guān)于自主設(shè)計(jì)的算法的不安全性，有一個(gè)事情深達(dá)我腦海。記得我在證券系統(tǒng)工作時(shí)，由于剛剛接手收購(gòu)來(lái)的營(yíng)業(yè)部，需要把一個(gè)clipper編譯的柜臺(tái)系統(tǒng)進(jìn)行遷移，但原來(lái)的開發(fā)商已經(jīng)聯(lián)系不到了，當(dāng)時(shí)我們制定了兩條路，一位高手李老師負(fù)責(zé)，進(jìn)行數(shù)據(jù)破解，看看是否能還原明文，而我則負(fù)責(zé)破解算法，如果李老師那邊走不通，則我需要解出算法，把000000～999999之間的數(shù)字全部加密，然后用密文做碰撞（那時(shí)證券都是柜臺(tái)操作，沒(méi)有網(wǎng)上炒股，密碼都是柜臺(tái)用數(shù)字鍵盤輸入的）。

由于原來(lái)的開發(fā)者加了一點(diǎn)花活，我這邊還沒(méi)有眉目，那邊旁觀李老師的工程師，已經(jīng)發(fā)出了驚嘆之聲，我跑過(guò)去，只見(jiàn)李老師根據(jù)構(gòu)造的幾個(gè)密碼的加密結(jié)果，在紙上匯出了長(zhǎng)得非常像楊輝三角的東西。不到半個(gè)小時(shí)，李老師已經(jīng)連解密程序一起做好了。

上面故事的目的是說(shuō)明，自己設(shè)計(jì)算法無(wú)論怎么自我感覺(jué)良好，看看美國(guó)官方遴選算法的PK過(guò)程大家就明白了，我們無(wú)法和全球數(shù)學(xué)家的智慧組合對(duì)抗。

因此自己設(shè)計(jì)實(shí)現(xiàn)算法，并不是一個(gè)好主意。這其中也包括，在實(shí)現(xiàn)上會(huì)不會(huì)有類似輸入超長(zhǎng)字符串會(huì)溢出一類的Bug。

單獨(dú)使用對(duì)稱算法

在標(biāo)準(zhǔn)HASH安全破滅后，又看到有人呼吁用AES，其實(shí)這不是一個(gè)好建議。AES這些對(duì)稱算法，都不具備單向性。網(wǎng)站被攻擊的情況是復(fù)雜的，有的是只有數(shù)據(jù)庫(kù)被拖，有的則整個(gè)環(huán)境淪陷。而后者AES密鑰一旦被拿到，密碼就會(huì)被還原出來(lái)，這比被查表還要壞。

當(dāng)然我們還看到一種把AES當(dāng)HASH用的思想，就是只保留一部分的AES加密結(jié)果，只驗(yàn)證不還原。但其實(shí)這樣的AES并不見(jiàn)得比HASH有優(yōu)勢(shì)。比如即使攻擊者沒(méi)有拿到密鑰，也只拖了庫(kù)，但攻擊者自己在拖庫(kù)之前注冊(cè)了足夠多的帳號(hào)，并使用大量不同的短口令。那么就拿到了一組短明文和對(duì)應(yīng)密文。而此時(shí)密鑰是完全有可能被分析出來(lái)的。

而使用DES、AES一類的算法，還是使用標(biāo)注HASH，還是自己設(shè)計(jì)算法，如果不解決不同用戶相同口令密文相同的統(tǒng)計(jì)性缺陷，那么攻擊者即使拿不到密鑰，也都可以先把一些高頻口令用于帳號(hào)注冊(cè)，拖庫(kù)后進(jìn)行密文比對(duì)。就可以鎖定大量的采用常見(jiàn)口令的用戶。

加“一粒鹽”

其實(shí)很多同仁都指出了哈希加鹽法（HASH+SALT），是問(wèn)題的解決之道，所謂加鹽（SALT）其實(shí)很簡(jiǎn)單，就是在生成HASH時(shí)給予一個(gè)擾動(dòng)，使HASH值與標(biāo)準(zhǔn)的HASH結(jié)果不同，這樣就可以抗彩虹查表了。

比如說(shuō)，用戶的密碼是123456，加一個(gè)鹽，也就是隨機(jī)字符串“1cd73466fdc24040b5”，兩者合到一起，計(jì)算MD5，得到的結(jié)果是6c9055e7cc9b1bd9b48475aaab59358e。通過(guò)這種操作，即便用戶用的弱密碼，也通過(guò)加鹽，使實(shí)際計(jì)算哈希值的是一個(gè)長(zhǎng)字符串，一定程度上防御了窮舉攻擊和彩虹表攻擊。

但從我們審計(jì)過(guò)的實(shí)現(xiàn)來(lái)看，很多人只加了“一粒鹽”。也就是說(shuō)，對(duì)同一個(gè)站點(diǎn)，不同用戶使用同一個(gè)密碼，其密文還是相同的。這就又回到了會(huì)遭遇高頻統(tǒng)計(jì)攻擊，預(yù)先注冊(cè)攻擊等問(wèn)題。

口令的安全策略

在傳統(tǒng)密碼學(xué)家眼中只有一種加密是理想的，那就是“一次一密”，當(dāng)然事實(shí)上這是不可能的。但如果我們套用這種詞法，我們也可以說(shuō)，口令安全策略的理想境界，我們可以稱為單向、一人一密、一站一密。

單向：標(biāo)準(zhǔn)HASH算法的價(jià)值盡管在這個(gè)場(chǎng)景下，已經(jīng)被推倒，但其單向性的思想依然是正確的，口令只要是能還原的，就意味著攻擊者也能做到這一點(diǎn)，從而失去了意義，因此使用單向算法是必須的。

一人一密：同一個(gè)站點(diǎn)設(shè)置同樣口令的不同用戶，加密生成的密文內(nèi)容并不相同。這樣就能有效的應(yīng)對(duì)結(jié)果碰撞和統(tǒng)計(jì)攻擊。采用字典的攻擊的方法基本是不收斂的。

一站一密：僅僅保證一人一密是不夠的，還要保證使用同樣信息、同樣口令去注冊(cè)不同網(wǎng)站的用戶，在不同站點(diǎn)的口令加密結(jié)果是不同的。鑒于有大量用戶用同樣的信息、同樣的口令去注冊(cè)不同網(wǎng)站，如果能做到這一點(diǎn)，流失出的庫(kù)信息會(huì)進(jìn)一步打折扣。而攻擊者基本會(huì)放棄生成密文字典的嘗試。

實(shí)現(xiàn)這些說(shuō)起來(lái)很簡(jiǎn)單，依然是HASH+SALT，關(guān)鍵在于每個(gè)站點(diǎn)要有不同的SALT，每個(gè)用戶要有不同的鹽。

但如果攻擊者不是只獲得了庫(kù)，而且也獲得了相關(guān)的加密參數(shù)和密鑰，我們就要看到攻擊者依然可以自己通過(guò)相關(guān)參數(shù)和密鑰調(diào)用算法，使用常見(jiàn)密碼對(duì)每個(gè)用戶生成一遍密文，然后是否有匹配。當(dāng)然我們可以看到由于“每人一粒鹽”的策略，攻擊者所需要的計(jì)算代價(jià)已經(jīng)變化了，如果過(guò)去只需要生成一次的話，那么假如使用100個(gè)常見(jiàn)的口令來(lái)做，那么只要口令沒(méi)有碰撞到，對(duì)每個(gè)用戶都要做100次加密操作。但這也是不容小覷的威脅。因?yàn)橛刑嘤脩粝矚g使用那些常見(jiàn)口令。

因此，設(shè)定一個(gè)密碼禁用表，讓用戶避免使用常見(jiàn)口令，可以進(jìn)一步讓破解者付出更大的代價(jià)，從而最終導(dǎo)致計(jì)算資源不收斂而放棄，也可以是一個(gè)可以考慮的策略。但也需要提醒WEB開發(fā)者的是，這樣會(huì)增大你的用戶忘記口令的風(fēng)險(xiǎn)。

另外，用戶是否有把密碼設(shè)置為123456的自由呢，我想只要不是國(guó)防、航天、涉密系統(tǒng)和有安全要求的企業(yè)環(huán)境，如果只是潛潛水、罵罵街，網(wǎng)站或許提醒用戶就好，但也許并不需要做成強(qiáng)制策略。

具體的實(shí)現(xiàn)

了這么多，怎么來(lái)具體實(shí)現(xiàn)一站一密、一人一密的策略呢，2011年12月23號(hào)，我們想到與其空洞的說(shuō)教算法原理和策略，不如提供一些非常直接的示例程序和文檔。

因此同事們寫了一份名為AntiyPasswordMixer（安天密碼混合器）的開源代碼，當(dāng)然這沒(méi)有什么技術(shù)含量，也不是“自有知識(shí)產(chǎn)權(quán)的國(guó)產(chǎn)算法”，有的只是對(duì)實(shí)現(xiàn)較好的流行開源算法包的示范性使用而已，目前的Python版本，也只有三百行代碼，在其中封裝了RSA和HASH+SALT使用，并給出了具體的在初始化、注冊(cè)和認(rèn)證時(shí)如何使用的范例文檔。

大家可以在這里找到這個(gè)東西：http://code.google.com/p/password-mixer/

當(dāng)然，就像我們惋惜很多應(yīng)用開發(fā)者缺乏對(duì)安全的重視一樣，其實(shí)我們并不懂應(yīng)用開發(fā)，所以這些代碼和文檔對(duì)于應(yīng)用開發(fā)者看來(lái)可能非常丑陋。盡管可能被鄙視，我們還是要打開門，證明安全團(tuán)隊(duì)并不保守。

而同時(shí)，我們必須與應(yīng)用走得更近，因?yàn)槲覀円苍谑褂弥@些自認(rèn)為違反了某種安全原則的應(yīng)用，卻因?yàn)椴皇瞧溟_發(fā)者而無(wú)法改造它們。

過(guò)去的10余年，中國(guó)的Web應(yīng)用甩開安全而飛速狂奔，開發(fā)者們憑借自身的勤奮和沖擊力奠定了現(xiàn)有的格局，但也因快速地奔跑遺落了一些東西，比如安全。也許現(xiàn)在是拾起這些棄物的時(shí)間了。

中國(guó)的安全界則因保守、敏感和很多自身的原因，與應(yīng)用的距離越拉越遠(yuǎn)，在我們還在幻想某些完美的安全圖景時(shí)，發(fā)現(xiàn)我們已經(jīng)望不到應(yīng)用的脊背了。也許，在應(yīng)用會(huì)回頭等等我們的時(shí)候，就是我們加速前行、拾起應(yīng)用所遺落的安全性，追送上去的時(shí)間了。

本文作者肖新光，網(wǎng)絡(luò)ID江海客，安天實(shí)驗(yàn)室首席技術(shù)架構(gòu)師，研究方向?yàn)榉床《竞陀?jì)算機(jī)犯罪取證等。如果有讀者想要就安全問(wèn)題和作者探討，可以在微博@江海客。