Nomad
NomadOct. 12, 2020, 1:54 p.m.

Как использовать свой алгоритм хэширования пароля в Django?

bcrypt, django

всем привет

у меня вопрос по поводу метода хранения пароля в джанго.
по умолчанию джанго ставит алгоритм pbkdf2_sha256
в документации написанно что есть еше 2 алгоритма, меня интересует bcrypt
НО когда меняешь на bcrypt то джанго ставит work factor = 12
моя задача поменять на work factor = 15

в django.contrib.auth есть hashers.py а в нем class BCryptSHA256PasswordHasher(BasePasswordHasher):

в данном классе прописан фактор: rounds = 12

знает кто как переопределить данное значение???

We recommend hosting TIMEWEB
We recommend hosting TIMEWEB
Stable hosting, on which the social network EVILEG is located. For projects on Django we recommend VDS hosting.

Do you like it? Share on social networks!

5
Илья Чичак
  • Oct. 12, 2020, 2:45 p.m.
  • The answer was marked as a solution.

1) а чем не устроил стандартный алгоритм? (мне реально просто интересно=))
2) наследуешься от этого класса, переопределяешь классовую переменную на 15 и указываешь свой класс в качестве хешера

# utils/hashers.py

class MyBCryptSHA256PasswordHasher(MyBCryptSHA256PasswordHasher):
    rounds = 15


# settings.py

PASSWORD_HASHERS = [
    'utils.hashers.MyBCryptSHA256PasswordHasher',
    'django.contrib.auth.hashers.Argon2PasswordHasher',
    'django.contrib.auth.hashers.PBKDF2PasswordHasher',
    'django.contrib.auth.hashers.PBKDF2SHA1PasswordHasher',
]

    Илья Чичак
    • Oct. 12, 2020, 2:48 p.m.

    ну и снова просьба - переименуй тему, пжлста, чтобы это был вопрос. Возможно, "Как использовать свой алгоритм хэширования пароля в Django?" или "Как сделать хеширование пароля в Django со своими параметрами?"
    Я прошу об этом, чтобы следующий человек, кто столкнется с такой проблемой, быстрее нашел решение

      Nomad
      • Oct. 12, 2020, 4:18 p.m.

      спасибо за решение.

        Nomad
        • Oct. 13, 2020, 9:56 a.m.
        • (edited)

        привет

        если честно это просто мой интерес, а появился вопрос после того как я где то в нете прочитал что во первых bcrypt это надежнее а если фактор 15 ТО у брудфорсеров нету никакого шанса

        да и по сути не важно, я просто задался вопросом )
        и спасибо вам за ответ

          Илья Чичак
          • Oct. 13, 2020, 11:15 a.m.
          • (edited)

          кстати, про брутфорс:
          никакой из алгоритмов не спасет от него
          пароли в Django шифруются не для того, чтобы их нельзя было подобрать, а для того, чтобы злоумышленник не смог ничего сделать с базой данных, если вдруг она оказалась у него в руках
          все пароли - хэшированны односторонней функцией сколько-то там тысяч раз с использованием соли
          провернуть фарш назад - шансов нет никаких

          при авторизации, когда пользователь ввел пароль, присходит следующее:
          1) ищется пользователь по email (если не нашелся - отбой)
          2) берется хэш пароля этого пользователя и из него берется алгоритм, соль, количество преобразований
          3) введеный пароль хэшируется тем же алгоритмом, с той же солью, столько же раз
          4) хэши сравниваются (не совпали - отбой)

          самый важный момент в плане безопасности django:
          если пользователь не нашелся - всеравно будет взят хэш от введеного пароля, чтобы нельзя было по времени ответа подобрать login-ы, которые уже есть (хэширование 30 000 раз - не самая быстрая операция, которая еще и выполняется на процессоре)
          без этого, если login уже есть, сервер отвечал бы на сколько-то миллисекунд дольше
          а уже к выявленным логинам можно применить брутфорс, от которого шифрованием защититься нельзя
          брутфорс подбор пароля можно предотвратить, сделав что-то типа 3 попытки логина и если все попытки не удачные, постепенно увеличивать задержку во времени между попытками

          про второй шаг:
          исключительно для обратной совместимости, поскольку раз во сколько то версий разработчики Django могут увеличить количество итераций или ввести и сделать по-умолчанию новый алгоритм, и чтобы твои уже существующие пароли не превратились в тыкву - типа старые пароли проверяются старым алгоритмом, новые - новым, и никто ничего не заметил

          вообще, пытаться подобрать оригинальное значение для хэш функции, произведенной сколько то раз - практически безсмыссленная затея. Проще реально подобрать пароль

          главное, в продакшене не менять SECRET_KEY - он тоже используется в хэшировании паролей + генерация кук (и если куки - не так страшны, то отвалившиеся пароли - штука печальная)

            Comments

            Only authorized users can post comments.
            Please, Log in or Sign up
            AD

            C ++ - Test 004. Pointers, Arrays and Loops

            • Result:50points,
            • Rating points-4
            m

            C ++ - Test 004. Pointers, Arrays and Loops

            • Result:80points,
            • Rating points4
            m

            C ++ - Test 004. Pointers, Arrays and Loops

            • Result:20points,
            • Rating points-10
            Last comments
            i
            innorwallNov. 13, 2024, 11:03 p.m.
            How to make game using Qt - Lesson 3. Interaction with other objects what is priligy tablets What happens during the LASIK surgery process
            i
            innorwallNov. 13, 2024, 8:09 p.m.
            Using variables declared in CMakeLists.txt inside C ++ files where can i buy priligy online safely Tom Platz How about things like we read about in the magazines like roid rage and does that really
            i
            innorwallNov. 11, 2024, 10:12 p.m.
            Django - Tutorial 055. How to write auto populate field functionality Freckles because of several brand names retin a, atralin buy generic priligy
            i
            innorwallNov. 11, 2024, 6:23 p.m.
            QML - Tutorial 035. Using enumerations in QML without C ++ priligy cvs 24 Together with antibiotics such as amphotericin B 10, griseofulvin 11 and streptomycin 12, chloramphenicol 9 is in the World Health Organisation s List of Essential Medici…
            i
            innorwallNov. 11, 2024, 3:50 p.m.
            Qt/C++ - Lesson 052. Customization Qt Audio player in the style of AIMP It decreases stress, supports hormone balance, and regulates and increases blood flow to the reproductive organs buy priligy online safe Promising data were reported in a PDX model re…
            Now discuss on the forum
            i
            innorwallNov. 14, 2024, 12:39 a.m.
            добавить qlineseries в функции Listen intently to what Jerry says about Conditional Acceptance because that s the bargaining chip in the song and dance you will have to engage in to protect yourself and your family from AMI S…
            i
            innorwallNov. 11, 2024, 10:55 a.m.
            Всё ещё разбираюсь с кешем. priligy walgreens levitra dulcolax carbs The third ring was found to be made up of ultra relativistic electrons, which are also present in both the outer and inner rings
            9
            9AnonimOct. 25, 2024, 9:10 a.m.
            Машина тьюринга // Начальное состояние 0 0, ,<,1 // Переход в состояние 1 при пустом символе 0,0,>,0 // Остаемся в состоянии 0, двигаясь вправо при встрече 0 0,1,>…

            Follow us in social networks