写点什么

Dropbox 是如何安全地存储用户密码的

2016 年 12 月 25 日

不久前,来自 Dropbox 的 Devdatta Akhawe 在官网博客上公开了Dropbox 为保护用户密码安全所采取的措施。

存储密码明文是一件很拙劣的事情,相信不会有人这么做的。早在1976 年,计算机行业就推行了单向散列机制,我们存储的是密码的散列值,而不是密码本身。这种方式虽然杜绝了密码被反向破解出明文,但却阻止不了不怀好意的人对其进行暴力破解。暴力破解虽然耗费时间,但被“猜”出密码是迟早的事。SHA 散列算法速度很快,一个商用CPU 每分钟可以算出几百万个SHA256 散列值,而有些GPU 群集每秒钟可以算出几十亿个

加密和破解是一场你追我赶的长期斗争。Dropbox 作为一个应用范围很广的云存储解决方案,他们又是如何保证用户的密码安全的呢?

Dropbox 的加密机制构建在三层加密基础之上,从里到外就像洋葱一样层层叠加。他们先是使用 SHA512 散列算法对明文密码进行散列,然后针对散列值进行 bcrypt 再散列。为什么在 bcrypt 之前要先做 SHA 散列呢?有些 bcrypt 实现会把散列值长度截至 72 字节,从而降低了密码的熵值,而有的则允许变长密码,这样容易受到 DoS 攻击。使用 SHA512 散列可以得到固定长度的 512 字节散列值,避免了上述的两个问题。

在 SHA 散列之后是 bcrypt 散列。bcrypt 散列算法是一种加盐(salt)散列算法,每个密码都有不同的“盐”,并且是分开存储的。bcrypt 速度比较慢,这样就很难通过硬件加速来加快破解速度。而且 bcrypt 散列使用了成本因子 10(每个因子相当于每一步计算需要耗费 100 毫秒的时间),这样就更是加大了暴力破解的难度。

经过 bcrypt 散列之后,散列值会再次经过 AES256 算法的加密,这次加密会使用到秘钥,也就是所谓的“胡椒粉”(pepper)。胡椒粉也是被单独存储的,所以就算密码被偷了,没有这些胡椒粉,那些不怀好意的人也拿它们没办法。

经过 SHA512、bcrypt 和 AES256 的三层加固,用户就可以高枕无忧了。不过之前说过,加密和破解是一场永不停止的战争,所以 Dropbox 在保护用户密码安全这项工作上永不停息。三层加固只是其中的一个环节,他们还部署了应对在线暴力破解的防护层。另外,他们还在积极地研究更多能够给用户的安全锦上添花的解决方案。


感谢郭蕾对本文的审校。

给InfoQ 中文站投稿或者参与内容翻译工作,请邮件至 editors@cn.infoq.com 。也欢迎大家通过新浪微博( @InfoQ @丁晓昀),微信(微信号: InfoQChina )关注我们。

2016 年 12 月 25 日 18:001665
用户头像

发布了 321 篇内容, 共 112.4 次阅读, 收获喜欢 113 次。

关注

评论

发布
暂无评论
发现更多内容

第二周作业

【架构师训练营第 1 期 02 周】 作业

Geek_4437a0

极客大学架构师训练营

Week_02学习总结

golangboy

【架构师训练营1期】第二周学习总结

诺乐

Week 2 作業一 : OOD 5 principles [SOLID]

Christy LAW

OOD SOLID 架構師 面向對象編程 面向對象編程原則

一篇搞定前端高频手撕算法题(36道)

执鸢者

面试 算法 前端

ARTS打卡 第18周

引花眠

微服务 ARTS 打卡计划

SOLID五大框架设计原则

Zzzz

极客大学架构师训练营

框架设计作业

ABS

第二周学习总结

熊桂平

极客大学架构师训练营

架构师第 2 课作业及学习总结

小诗

极客大学架构师训练营

【架构师训练营 1 期】第二周作业

诺乐

第二周作业

kevin

训练营-第二周-作业二

行者

Spring 5 中文解析数据存储篇-JDBC数据存储(中)

青年IT男

Spring5

SpringBoot系列(2)-第一个SpringBoot程序

引花眠

springboot

架构师训练营第一期——第二周总结

tao

ARTS Week11

丽子

架构师训练营1期3班-袭望-第二周

袭望

面向对象编程与软件设计原则

zero2onemore

架构师训练营第 1 期 - 第2周 - 作业

wgl

Week 2 學習總結

Christy LAW

Java 架構師 學習

架构第二周总结

Geek_Gu

极客大学架构师训练营

架构师训练营第一期——第二周作业

tao

Week_02

golangboy

框架设计原则

wing

极客大学架构师训练营

week2

张兵

极客大学架构师训练营

第二周作业

Geek_ac4080

第2周

paul

第二周作业

zero2onemore

第二周作业一

dll

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

技术为帆,纵横四海- Lazada技术东南亚探索和成长之旅

Dropbox是如何安全地存储用户密码的-InfoQ